В функции AirDrop былa oбнaружeнa уязвимoсть, кoтoрaя пoзвoляeт пoльзoвaтeлям Mac и iPhone пeрeдaвaть фaйлы мeжду устрoйствaми пo бeспрoвoднoй сeти, сooбщaeт пoртaл Mashable. Блaгoдaря этoй брeши в систeмe бeзoпaснoсти, AirDrop рaскрывaeт элeктрoнныe aдрeсa и нoмeрa тeлeфoнoв пoльзoвaтeлeй пoстoрoнним лицaм.
Кoмaндa исслeдoвaтeлeй утвeрждaeт, чтo oб этoм нeдoстaткe AirDrop кoмпaния с Купeртинo былa прeдупрeждeнa eщe в 2019 гoду, oднaкo дo сиx пoр ничeгo нe сдeлaлa.
«Преступник может узнать номер телефона и домицилий электронной почты пользователя AirDrop. Подле этом им даже приставки не- нужно знать человека. Преступник должен находиться достаточно недалече к цели и установить Wi-Fi-соединение посередь устройствами»,— говорится в пресс-папье-релизе исследовательской группы.
Есть расчет отметить, что это неважный (=маловажный) единственный раз, когда AirDrop подрывает гласность пользователя. Так, в 2019 году исследователи обнаружили, что-что они могут определять телефонные постоялый двор пользователей на основе частичных хешей, которые отправляет AirDrop. Между тем пока неизвестно, была ли буква проблема устранена Apple, тем сильнее что по своему характеру возлюбленная похожа на уязвимость, раскрытую сверху этой неделе.
«Друг обнаруженных проблем лежит в использовании Apple хеш-функций для того «запутывания» обмениваемых телефонных номеров и адресов электронной почты кайфовый время процесса обнаружения AirDrop. Тем не менее исследователи из Технического университета Дармштадта ранее показали, что хеширование приставки не- может обеспечить обнаружение контактов с сохранением конфиденциальности.
Решающий исследователь угроз в Avast Мартиня Хрон объяснил, что хеш — сие односторонняя математическая функция, которая осуществляет расчеты на основе предоставленных входных данных и выводит «отпечаток», тот или иной всегда имеет постоянную длину, единовластно от длины входных данных.
«Птицы одного полета входные данные всегда имеют одно и так же хеш-значение нате выходе. Самая важная лица необщее выраженье хеша заключается в том, что-что, зная его значение, ваша сестра не сможете восстановить входные талантливость. Проблема в том, что в этом случае входные информация — это информация с низкой сложностью, потому что номер телефона ограничен объединение длине и состоит только изо цифр. Современные вычислительные мощности позволяют совсем нечего делать «перебрать» число из хеша, пробуя каждую возможную комбинацию входного числа, и выкопать его хеш», — рассказал умелец.
Директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов в беседе с «Газетой.Ru» упомянул, почему принцип работы AirDrop связан с процессом аутентификации, какой-нибудь должны пройти оба устройства интересах успешного соединения. В момент, рано или поздно пользователь на Mac или iPhone выбирает обложка и способ передачи «поделиться из-за AirDrop», устройство начинает заниматься Bluetooth-сигнал. В данном случае передаются хеш заезжий двор телефона и Apple ID. Второе образование автоматически принимает хеш и сравнивает его с тем, фигли записан на устройстве.
(не то они совпадают, происходит конвертирование необходимыми данными. Таким образом, происходит работа аутентификации двух iOS-устройств возле передаче файлов. При этом на случай если человек активирует опцию пендюрить запросы на передачу данных с всех, то процесс аутентификации кончайте проходить автоматически.
«Квинтэссенция хеширования в том, чтобы кто именно-то извне не дым получит хеш и понять, какие информация в нем зашифрованы. При этом устройства, которые им обмениваются, располагают этой информацией, следственно могут сравнить по хешу эмпирика и идентифицировать, что устройство находится в списке доверенных контактов. Неведомо зачем, имея базу данных существующих телефонных номеров сиречь email, злоумышленник может сформировать хеш и методом отправки множества различных запросов с сим хешом к чьему-либо устройству, ра номер или email, который-нибудь с ним связан. Номер телефона подытожить проще, так как всевозможных вариаций дешевле, нежели в случае с электронной почтой», — объяснил критик.
Также Чернов отметил, почему найденная уязвимость AirDrop возьми самом деле является особенностью функции iOS, которая позволяет пользователям Mac и iPhone обличать файлы между устройствами после беспроводной сети.
Она далеко не классифицируется сообществом информационной безопасности чисто уязвимость.
В данном случае хеширование Apple ID и заезжий дом телефона происходит по протоколу SHA-256, какой-нибудь признается достаточно защищенным.
«Во (избежание реализации атаки злоумышленнику приходится находиться в зоне действия Bluetooth-сигнала пользователя, яко не позволяет сделать атаку массовой. В опасности могут жить(-быть только те пользователи, которые находятся касательно близко к злоумышленнику, и у которых в настройках выбрана опция полагать запросы от всех», — поделился Чернов.
Ради снижения рисков утечки данных рекомендуется пользователям нарушить супружескую вер режим обнаружения AirDrop с установленного вдоль умолчанию «Для контактов» сверху «Прием выкл», советует управляющий по ИТ компании Oberon Митюша Пятунин.
«Также приставки не- советуем открывать окно «Поделиться» в общественных местах и внедрять пароль в Wi-Fi-сети. Именно в трех вышеперечисленных случаях строй отправляет BLE-пакеты, которые содержат факт от шифрования номера телефона», — посоветовал знаток.
