Uma vulnerabilidade "séria" no AirDrop foi descoberta

O AirDrop é um recurso em dispositivos iOS e macOS que permite compartilhar arquivos, fotos, filmes, etc. de forma segura e conveniente. sem necessidade de cabos.

O AirDrop inclui três modos: Desligado, Somente Contatos, Todos. Por padrão, está definido como Somente Contatos (o que significa que eles só podem usar você com você e você só pode usá-lo com aqueles que já estão no seu aplicativo Contatos).

Além disso, a Apple aumentou a segurança do AirDrop em versões recentes dos sistemas operacionais, permitindo que apenas os dispositivos que estão na orientação indicada pelo remetente apareçam na rede AirDrop (para que um dispositivo que esteja atrás não apareça na rede AirDrop até o usuário não o endereça).

Pesquisadores mostraram que através do AirDrop é possível obter o número de telefone e e-mail de estranhos.

Para que os hackers roubem essas informações privadas, eles teriam que realizar um ataque de força bruta ou alguma outra "técnica simples". Eles só podem fazer isso enquanto estão (fisicamente) perto do usuário com o benefício de compartilhamento aberto em um dispositivo Apple habilitado para AirDrop.

Embora sejam condições muito específicas, pesquisadores da Technische University em Darmstadt acreditam que essa vulnerabilidade representa uma "grave violação de privacidade".

"Para determinar se o outro usuário é um contato", escrevem os pesquisadores, "o AirDrop usa um mecanismo de autenticação mútua que compara o número de telefone e o endereço de e-mail de um usuário com os do aplicativo Contatos. outro usuário".

Embora a Apple criptografe essas informações, os pesquisadores dizem que a técnica de "hashing" da Apple "não alcança um sistema de descoberta que protege a privacidade, pois os hashes podem ser rapidamente revertidos usando técnicas simples, como ataques de força bruta".

Os pesquisadores descobriram esse bug no AirDrop em 2019. Embora tenham relatado à Apple, eles nunca receberam uma resposta.