Una falla in AirDrop potrebbe rivelare il vostro numero di telefono e la vostra email agli sconosciuti

Una falla in AirDrop potrebbe rivelare il vostro numero di telefono e la vostra email agli sconosciuti
Filippo Morgante
Filippo Morgante

Una falla all'interno della funzione AirDrop dei dispositivi Apple permetterebbe ad utenti estranei di vedere il vostro numero di telefono e l'indirizzo email senza nemmeno la necessità di avviare un trasferimento dati. Aprendo un riquadro di condivisione di iOS o macOS nel raggio d'azione Wi-Fi di un estraneo, questo potrebbe aver accesso ai vostri dati. I ricercatori di sicurezza che hanno scoperto la vulnerabilità dicono di averla rivelata ad Apple nel maggio 2019, ma la società non ha ancora fornito una correzione per i 1,5 miliardi di dispositivi interessati.

Il documento sostiene che i dati completi possono essere ottenuti ogni volta che qualcuno apre un riquadro di condivisione AirDrop, non importa quale opzione poi selezioni. I ricercatori della Technische Universitat Darmstadt dicono che il problema è una combinazione di due principali fattori: il primo riguarda l'opzione di impostazione "solo contatti" per AirDrop, per cui i dispositivi Apple devono richiedere silenziosamente i dati personali di tutti i dispositivi nel raggio d'azione:

Poiché i dati sensibili sono tipicamente condivisi esclusivamente con persone che gli utenti già conoscono, AirDrop mostra solo i dispositivi riceventi dai contatti della rubrica per impostazione predefinita. Per determinare se l'altra parte è un contatto, AirDrop utilizza un meccanismo di autenticazione reciproca che confronta il numero di telefono e l'indirizzo e-mail di un utente con le voci nella rubrica dell'altro utente.

da Technische Universitat Darmstadt

In secondo luogo, anche se i dati scambiati sono criptati, Apple utilizza un meccanismo di hashing relativamente debole:

Un team di ricercatori del Secure Mobile Networking Lab (SEEMOO) e del Cryptography and Privacy Engineering Group (ENCRYPTO) alla TU Darmstadt ha dato un'occhiata più da vicino a questo meccanismo e ha scoperto una grave perdita di privacy.

Come attaccante, è possibile conoscere i numeri di telefono e gli indirizzi e-mail degli utenti AirDrop, anche come un completo estraneo. Tutto ciò che serve è un dispositivo con capacità Wi-Fi e la vicinanza fisica a un obiettivo che avvia il processo di scoperta aprendo il pannello di condivisione su un dispositivo iOS o macOS.

I problemi scoperti sono radicati nell'uso da parte di Apple di funzioni hash per "offuscare" i numeri di telefono e gli indirizzi e-mail scambiati durante il processo di scoperta. I ricercatori della TU Darmstadt hanno già dimostrato che l'hashing non riesce a fornire una protezione dei contatti rispettosa della privacy, poiché i cosiddetti valori di hash possono essere rapidamente invertiti utilizzando tecniche semplici come gli attacchi brute-force.

da Technische Universitat Darmstadt

Il team dice di aver risolto questa falla di AirDrop con un approccio molto più sicuro, che prende il nome di PrivateDrop. Nonostante abbia avvisato Apple sia del problema della privacy che di una possibile soluzione, sembra che Apple non l'abbia ancora risolto.

Via: 9to5mac

Commenta