AirDrop от Apple позволяет быстро передавать файлы на устройства Apple, находящиеся рядом. Исследователи безопасности выяснили, что мошенники могут получить номер телефона и адрес электронной почты пользователя при помощи AirDrop. Этой уязвимости подвержены около 1,5 миллиарда устройств.
Хотя особо бояться не стоит – эту информацию не очень сложно получить обычным путём (например, направив человека противоположного пола, который немного пофлиртует и получит желаемый номер и адрес). Чуть дольше, но, в принципе, не проблема. Кроме того, телефоны можно получить из различных пиратских баз данных или даже из открытых телефонных книг. Адрес электронной почты тоже редко секретен, часто он открыто указан на сайте или в социальных сетях.
Исследователи из Технического университета Дармштадта раскрыли механизм новой уязвимости. Она основывается на том, что AirDrop передаёт номер телефона и электронную почту пользователя для определения, знаком ли он данному человеку. Эти данные потом ищутся в адресной книге.
Аппараты от Apple обмениваются пакетами AWDL (Apple Wireless Direct Link), которые содержат информацию об устройствах и их хозяевах, в том числе технические характеристики и некоторые личные сведения (номера телефонов, идентификаторы Apple ID, адреса электронной почты). Чтобы защитить данные от перехвата, Apple шифрует их с помощью метода SHA256, но так как любое устройство должно уметь их расшифровать, это ничего не даёт.
Как выяснилось, мошенники могут получить тайную информацию, имея устройство с поддержкой Wi-Fi и находясь поблизости. Правда, объект должен сам инициировать обнаружение, открыв панель обмена файлами на устройстве с iOS или macOS. Обычно это делается довольно редко, поэтому данная дыра в защите не слишком упрощает задачу получения сведений.
В первый раз эта группа обратила внимание на эту проблему ещё в позапрошлом году. Она сразу же уведомила о ней Apple, но та пока не отреагировала. Специалисты проинформировали фирму и предложили ей употреблять новый и настраиваемый протокол PrivateDrop для предотвращения подобных утечек. Однако и в нём наверняка есть уязвимости. Всё равно для работы передачи данных требуется рассылать всем вокруг сообщения с основной информацией об устройстве.
Скорее всего, сделать данную функцию без уязвимости невозможно, и единственный вариант повышения безопасности — удалить возможность передачи данных таким способом вообще.
Пользователям, которые опасаются утечки данных рекомендуется отключить возможность AirDrop.