Másfél milliárd Apple eszköz adata van veszélyben egy biztonsági rés miatt

 

Az Apple AirDrop egy kényelmes és praktikus módszer az Apple eszközök közötti vezeték nélküli fájlmegosztásra. Azonban a németországi Darmstadti Műszaki Egyetem kutatói súlyos adatvédelmi hibát fedeztek fel a protokoll működésében. Mint kiderült, egy lehetséges támadónak csupán egy Wi-Fi képes eszközre van szüksége ahhoz, hogy az áldozat eszközének közelében tartózkodva megszerezze a célpont kontakt adatait. A szakértők felfedezték, hogy a hiba az eszközök közötti kapcsolatfelépítési folyamatban található. A hitelesítés aképp valósul meg, hogy az AirDrop eszközök a felhasználó telefonszámát és e-mil címét “megkeresik” a közelben lévő Apple eszközökön és egyezés esetén felépül a kapcsolat. Persze a kontakt adatok nem szabad szöveges formában kerülnek közzétételre, az eszközök egy hash algoritmus segítségével előbb lenyomatot képeznek és csak ezt cserélik ki egymás között. Ugyanakkor, mint kiderült, az alkalmazott algoritmus nem megfelelő, a bűnözők könnyen visszafejthetik ezeket az adatokat akár brute force (nyers erőn) vagy dictionary (szótár-alapú) támadás segítségével, így illetéktelenül kapcsolatot építhetnek fel az áldozat eszközével. A kutatók 2019 májusában jelezték a hibát az Apple-nek, majd 2020 októberében újra felvették a kapcsolatot az a vállalattal, mivel kidolgoztak egy megoldást, amelyet “PrivateDrop” névre kereszteltek. A protokoll már optimalizált kriptográfiai megoldásokat alkalmaz, amelynek segítségével a két felhasználó közötti kapcsolatfelderítési folyamat biztonságos. A PrivateDrop nyilvánosan megtekinthető a GitHub-on. Mivel még az Apple nem adott ki tájékoztatást a fentiekkel kapcsolatban, a kutatók nagy esélyt látnak rá, hogy körülbelül másfél milliárd Apple eszköz lehet érintett az ügyben.​

(securityaffairs.co)