Los usuarios de Apple AirDrop supuestamente vulnerables a fallas de seguridad


Alguien con los conocimientos técnicos adecuados puede obtener su número de teléfono y dirección de correo electrónico cuando intente compartir un archivo desde su Apple iphone, dicen los investigadores de la Universidad de Darmstadt.

apple-airdrop.jpg

Los usuarios de Apple iphone con AirDrop habilitado pueden, sin saberlo, exponer cierta información own a un completo extraño. en un informe publicado la semana pasada, investigadores del Departamento de Ciencias de la Computación de la Universidad de Darmstadt en Alemania revelaron su descubrimiento de un agujero de seguridad en el AirDrop de Apple.

Utilizado por muchos usuarios de Apple iphone, AirDrop le permite compartir un archivo con otra persona simplemente enviándolo al dispositivo de esa persona. Según lo implementado por Apple, AirDrop parece tener una falla en la forma en que verifica si estás o no en la lista de contactos de la otra persona.

AirDrop ofrece tres configuraciones diferentes para elegir:

  1. Recibiendo apagado: La función está deshabilitada
  2. Solo contactos: Las personas pueden recibir archivos solo de aquellos en su lista de contactos
  3. Todos: Las personas pueden intercambiar un archivo con cualquier otro usuario de Apple iphone o iPad.

VER: Cómo migrar a un nuevo iPad, Iphone o Mac (TechRepublic Quality)

La falla detallada por los investigadores radica en la configuración de Solo contactos. Para compartir un archivo con alguien a través de AirDrop, use la función Compartir iOS y especifique AirDrop como la herramienta. Si el AirDrop de la otra persona está configurado en Solo contactos, Apple debe determinar si estás en la lista de contactos de esa persona. Para hacer esto, la empresa utiliza un proceso de autenticación que compara su número de teléfono y dirección de correo electrónico con las entradas en la libreta de direcciones de la otra persona.

Para proteger su número de teléfono y dirección de correo electrónico durante este proceso, Apple confía en una función de hash para ocultar esa información. Sin embargo, los investigadores de la universidad ya habían descubierto que este el hash no protege adecuadamente la privacidad de los datos.

Como tal, un extraño inteligente podría revertir los valores hash a través de ciertas técnicas, incluidos los ataques de fuerza bruta, descubriendo así su dirección de correo electrónico y número de teléfono. Esta falla también se extiende a otros dispositivos que usan AirDrop, incluidos iPads y Mac.

«Como atacante, es posible conocer los números de teléfono y las direcciones de correo electrónico de los usuarios de AirDrop, incluso como un completo extraño», dijeron los investigadores en el informe. «Todo lo que necesitan es un dispositivo con capacidad Wi-Fi y la proximidad física a un objetivo que inicia el proceso de descubrimiento al abrir el panel para compartir en un dispositivo iOS o macOS».

En un escenario, un pirata informático con intenciones maliciosas podría quedarse en un lugar público y buscar personas que intenten usar la función Compartir de iOS. Si AirDrop está configurado en Solo contactos para cualquier persona, el pirata informático podría probar diferentes métodos para obtener las direcciones de correo electrónico y los números de teléfono de los usuarios cercanos. Esta información personalized se puede utilizar para spam, campañas de phishing y otros tipos de ataques.

Para reemplazar el diseño inseguro de AirDrop, los investigadores dijeron que crearon su propia solución denominada «PrivateDrop. «Basado en protocolos criptográficos optimizados, PrivateDrop puede determinar de forma rápida y segura si estás en la lista de contactos de un usuario de Apple iphone sin tener que intercambiar los valores de hash vulnerables. PrivateDrop es accesible en GitHub para análisis por terceros.

¿Qué hay de la respuesta de Apple? Los investigadores dijeron que revelaron el agujero de privacidad en AirDrop a la compañía en mayo de 2019. Hasta ahora, Apple no ha reconocido el problema ni ha indicado que se esté trabajando en una posible solución. TechRepublic se comunicó con Apple para solicitar comentarios y actualizará la historia con cualquier respuesta.

Por ahora, los investigadores aconsejan a los usuarios que apaguen AirDrop. Para hacer esto en un Iphone o iPad, vaya a Configuración y luego a Typical y luego toque la entrada para AirDrop. Cambie el ajuste a Recepción desactivada.

Alternativamente, vaya directamente al Centro de manage deslizando el dedo hacia abajo desde la esquina exceptional derecha o hacia arriba desde la parte inferior, según su dispositivo. Mantenga presionado el regulate para la conectividad, luego toque el ícono de AirDrop y configúrelo en Recepción desactivada. En una Mac, haga clic en el icono del Centro de command en la barra de menú y luego seleccione y apague AirDrop. Siempre puede activar AirDrop temporalmente, si lo necesita y cuando lo necesite.

Ver también



Enlace a la noticia original