Chyba Apple AirDrop odhaluje 1,5 miliardy zařízení – co dělat

(Obrazový kredit: Aleksey Khilko / Shutterstock)

Pět německých výzkumníků zjistilo, že protokol AirDrop společnosti Apple může náhodně uniknout vaši e-mailovou adresu a telefonní číslo do jakéhokoli zařízení Apple v okolí. Říká se, že Apple ví o tomto problému - který činí 1,5 miliardy zařízení zranitelnými - téměř dva roky, ale dodávají, že mají možné řešení.

„Je možné zjistit telefonní čísla a e-mailové adresy uživatelů AirDrop – dokonce i jako úplně cizinci,“ uvádí webové stránky vytvořené výzkumníky . 'Útočník potřebuje pouze zařízení s podporou Wi-Fi a fyzickou blízkost cíle.'



  • Nabídky Cyber ​​Monday: podívejte se na všechny nejlepší nabídky právě teď!

„Uživatelé Apple jsou stále zranitelní,“ dodává web. 'Mohou se chránit pouze tím, že v nastavení systému zakážou zjišťování AirDrop a neotevírají podokno sdílení.'

Jak se chránit

Abyste se ujistili, že nejste zranitelní vůči těmto útokům, budete chtít nastavit AirDrop na 'Příjem vypnutý' na iPhonu nebo iPadu a na 'Umožněte mi být objeven nikým' na Macu.

Možná budete chtít vypnout Wi-Fi a Bluetooth, když je nepoužíváte, i když není jasné, zda tím skutečně vypnete AirDrop.

Případně můžete nechat „Všichni“ posílat vám soubory AirDrop, protože pak nedojde k žádné výměně e-mailových adres nebo telefonních čísel. Možná však uvidíte spoustu znepokojivých obrázků zaslaných jinými uživateli iPhone.

Jak AirDrop zahajuje připojení

Když je vaše zařízení s podporou AirDrop připraveno ke sdílení souboru, vysílá zašifrovanou formu vašeho telefonního čísla a/nebo e-mailové adresy (podle toho, která je svázána s vaším účtem Apple) do čehokoli v dosahu Wi-Fi nebo Bluetooth.

Dělá to tak, že ostatní zařízení Apple s AirDrop nastaveným na výchozí hodnotu „Pouze kontakty“ mohou v případě, že se chcete připojit, zkontrolovat, zda jste v seznamu kontaktů jejich uživatelů. (Zařízení s AirDrop nastaveným na „Všichni“ tuto kontrolu neprovádějí, ale přesto obdrží zašifrovaná telefonní čísla nebo e-mailové adresy.)

Zařízení Apple nevysílají skutečná telefonní čísla ani e-mailové adresy. Spíše vysílají „hash“ těchto hodnot, tj. dlouhé řetězce textu, které získáte, když spustíte text pomocí pevných matematických algoritmů.

Například telefonní číslo 1 (212) 555-1212 s odstraněnými mezerami a závorkami by pocházelo z hashovacího algoritmu SHA-256, který AirDrop používá jako '26321368f6c23510f79a21085024dd5a8c19d3016.

Jiná zařízení Apple tyto hodnoty hash porovnávají s hodnotami hash e-mailových adres a telefonních čísel, která mají ve svých vlastních seznamech kontaktů. Pokud dojde ke shodě, tato zařízení odpoví na vaše vlastní e-mailovou a telefonní hodnotou hash.

Pokud mají obě zařízení vzájemné kontaktní informace ve svém seznamu kontaktů, vytvoří se připojení AirDrop a soubory lze sdílet. (Opět nastavení „Všichni“ tuto kontrolu přeskočí a pouze sdílí soubory s kýmkoli.)

Zní to dobře, ale je tu problém

Problém je v tom, že zatímco hash má být nevratný – neměli byste být schopni vytočit zpět hash, abyste získali původní telefonní číslo nebo e-mailovou adresu – tak to v reálném životě přesně nefunguje.

„Kryptografické hašovací funkce nemohou skrýt své vstupy (nazývané předobrazy), pokud je vstupní prostor malý nebo předvídatelný, například pro telefonní čísla nebo e-mailové adresy,“ uvádí akademický papír autory výzkumníků Alexander Heinrich, Matthias Hollick, Thomas Schneider, Milan Stute a Christian Weinert.

Heinrich, Hollick a Stute dříve pracovali na způsobech, jak zaútočit na technické základy AirDrop.

Jinými slovy, protože telefonní čísla mají předvídatelné formáty, netrvalo by dlouho ani počítači střední třídy, než by předkompiloval seznam známých hash pro všechna možná telefonní čísla v určité oblasti nebo pro všech asi 10 miliard možných telefonních čísel. v Severní Americe.

Hacker by si mohl na svůj laptop umístit předkompilovaný seznam hash telefonních čísel, pak sedět na veřejném místě – například před vchodem do sídla velké korporace v době oběda – a pasivně sbírat čísla blízkých iPhonů, když se snaží nastavit Akcie AirDrop.

Hacker by také mohl aktivně donutit ostatní zařízení, aby se vzdala svých telefonních čísel. Útočník by mohl iniciovat sdílení AirDrop odesláním hash telefonního čísla, které mnoho lidí pravděpodobně mělo ve svém seznamu kontaktů – řekněme číslo hlavního ústředny společnosti nebo číslo jejího oddělení lidských zdrojů.

Každý procházející iPhone s tímto číslem v seznamu kontaktů by poslal zpět hash svého vlastního telefonního čísla.

Dobře, takže co když někdo cizí zná moje mobilní číslo?

Vzhledem k tomu, že čísla mobilních telefonů se (omylem) používají jako ověření identity pro výzvy k zadání hesla, přihlášení k bankovnímu účtu a dvoufaktorové ověřování, mohli byste způsobit mnoho škod, pokud byste získali telefonní čísla vysoce postavených osob nebo kohokoli, kdo hodně vlastní. bitcoinu.

E-mailové adresy se o něco hůře předkompilují hash, protože neodpovídají žádné nastavené délce a mohou obsahovat písmena i čísla. Hacker by však mohl omezit předem vypočítané hashe na adresy končící na „@gmail.com“ nebo „@yahoo.com“ nebo na adresy podle specifického formátu adresy společnosti.

„Případně by útočník mohl vygenerovat tabulku pro vyhledávání e-mailů z narušení dat nebo použít službu online vyhledávání pro hašované e-mailové adresy,“ uvádí list.

Hacker by pak mohl získat e-mailové adresy stejným způsobem jako telefonní čísla. Tyto e-mailové adresy, poznamenává výzkumný papír, by mohly být použity „pro podvodné aktivity, jako jsou (spear) phishingové útoky nebo vydělávání zisku prodejem osobních údajů.

Řešení se nabízí samo

Vědci z Darmstadtu uvedli, že soukromě řekli Applu o scénáři pasivního útoku v květnu 2019 a scénáři aktivního útoku v říjnu 2020. V červenci 2019 druhá skupina nezávisle našli problém pasivního útoku a zveřejnili jej.

„Apple se zatím nevyjádřil, zda plánují řešit tyto problémy AirDrop,“ píše se ve výzkumu. (TemplateStudio požádalo Apple o komentář a my tento příběh aktualizujeme, až obdržíme odpověď.)

Vědci vytvořili open-source projekt s názvem ' PrivateDrop ', který se 'bezproblémově integruje do aktuální sady protokolů AirDrop.'

nové hry pro xbox právě vyšly

Říká se, že PrivateDrop, o kterém řekli Applu v říjnu, vyřeší problémy AirDrop s únikem dat tím, že nahradí hašovaná telefonní čísla a e-mailové adresy jinými hodnotami.

Dnešní nejlepší nabídky Apple iPhone SE (2020).Plány OdemčenýZískejte nový iPhone SE + Premium Wireless již od 30 $ měsíčně Mint Mobile USA Bez smlouvy Apple iPhone SE (2020) (na splátky Apple iPhone SE (2020) (na splátky Volný, uvolnit předem 31,62 $/mth Neomezený min Neomezený texty 4 GB data hovory:Včetně volání do MX a CAtexty:Zasílání zpráv do MX a CA v ceněData:(zpomaleno na 128 kbps rychlosti) Mint Mobile USA Bez smlouvy Neomezený min Neomezený texty 4 GB data hovory:Včetně volání do MX a CAtexty:Zasílání zpráv do MX a CA v ceněData:(zpomaleno na 128 kbps rychlosti) Zobrazit nabídku na Mint Mobile Volný, uvolnit předem 31,62 $/mth Zobrazit nabídku na Mint Mobile Získejte virtuální dárkovou kartu v hodnotě 100 $ + ZDARMA Beat Studio Buds – černá, když přepnete a aktivujete režim Visible Bez smlouvy Apple iPhone SE (2020) (na splátky Apple iPhone SE (2020) (na splátky Volný, uvolnit předem 56 dolarů/mth Neomezený min Neomezený texty Neomezený data Data:(rychlost stahování 5-12 Mbps, rychlost odesílání 2-5 Mbps) Bez smlouvy Neomezený min Neomezený texty Neomezený data Data:(rychlost stahování 5-12 Mbps, rychlost odesílání 2-5 Mbps) Zobrazit nabídku na Volný, uvolnit předem 56 dolarů/mth Zobrazit nabídku na Černý pátek: Získejte slevu 80 $ na tento telefon + 50 % slevu na plány nad 10 $ na 1. měsíc služby Tello USA Bez smlouvy Apple iPhone SE (2020) (64 GB) Apple iPhone SE (2020) (64 GB) 319 dolarů předem 39 dolarů/mth Neomezený min Neomezený texty Neomezený data hovory:Zahrnuty jsou hovory do 60+ zemíData:Neomezené 2G po 25 GB využití dat 4G LTE/5G Tello USA Bez smlouvy Neomezený min Neomezený texty Neomezený data hovory:Zahrnuty jsou hovory do 60+ zemíData:Neomezené 2G po 25 GB využití dat 4G LTE/5G Zobrazit nabídku na Tello 319 dolarů předem 39 dolarů/mth Zobrazit nabídku na Tello Každý den kontrolujeme více než 250 milionů produktů za nejlepší ceny