Un bug consente ai malintenzionati di apprendere numero di telefono e indirizzo email degli utenti Apple che utilizzano AirDrop. Oltre 1,5 miliardi di dispositivi Apple sarebbero potenzialmente esposti
Il sistema di scambio dati wireless tra device Apple AirDrop potrebbe esporre le informazioni di contatto degli utenti a causa di un bug che consentirebbe di aggirarne i sistemi di protezione. A scoprire il problema di privacy nel protocollo di condivisione file di Cupertino sono stati i ricercatori della Technical University di Darmstadt, in Germania.
“Un team di ricercatori del Secure Mobile Networking Lab e del Cryptography and Privacy Engineering Group presso TU Darmstadt ha esaminato più da vicino questo meccanismo e ha scoperto una grave falla nella privacy”, si legge in un post pubblicato dai ricercatori. “Per un aggressore è possibile conoscere i numeri di telefono e gli indirizzi email degli utenti di AirDrop, anche se è completamente estraneo. Tutto ciò di cui si ha bisogno è un dispositivo con funzionalità wi-fi e la vicinanza fisica a un device che avvii il processo di rilevamento aprendo il riquadro di condivisione su un dispositivo iOS o macOS”.
AirDrop è un servizio proprietario ad hoc dei sistemi operativi iOs e MacOs di Apple Inc., introdotto in Mac Os X Lion e iOs 7, che può trasferire file tra computer Macintosh supportati e dispositivi iOs tramite comunicazione wireless a corto raggio. La funzione consente la condivisione dei dati con i dispositivi dei contatti in rubrica sfruttando un meccanismo di autenticazione reciproca che confronta il numero di telefono e l’indirizzo e-mail di un utente con le voci nella rubrica dell’altro utente per determinare se i due utenti sono in contatto.
La falla scoperta dai ricercatori potrebbe riguardare oltre 1,5 miliardi di dispositivi Apple che utilizzano AirDrop e che ancora non hanno ricevuto una patch che risolva questo problema. Gli esperti hanno identificato che le vulnerabilità consentono a un utente malintenzionato di apprendere gli identificatori di contatto – cioè i numeri di telefono e gli indirizzi email – dei mittenti e dei destinatari di AirDrop nelle vicinanze. I ricercatori della TU Darmstadt hanno scoperto che i difetti derivano dallo scambio di valori hash di tali identificatori di contatto durante il processo di scoperta, che può essere facilmente annullato dagli aggressori tramite attacchi di forza bruta.
I ricercatori hanno riferito privatamente i loro risultati ad Apple nel maggio 2019, quindi hanno sviluppato una soluzione denominata PrivateDrop per risolvere il bug in AirDrop e l’hanno segnalata al gigante di Cupertino nell’ottobre 2020. Ora tocca a Apple risolvere e patchare queste vulnerabilità.
Leggi anche
Potrebbe interessarti anche