Un difetto scoperto su AirDrop può consentire a chiunque abbia un laptop e un software di scansione di scoprire il numero di telefono del tuo iPhone. Lo stesso può avvenire quando condividi la password Wi-Fi dall’iPhone.
Come riportato da ArsTechnica, alcuni esperti di sicurezza hanno utilizzato un software di prova in grado di intercettare il numero di telefono di un iPhone sfruttando AirDrop o la funzione di condivisione della password Wi-Fi.
Rob Graham, CEO della Errata Security, è stato in grado di scoprire i numeri di telefono di decine di iPhone che erano nella portata radio del suo laptop all’interno di un bar. Sfruttando uno sniffer dongle di pacchetti wireless, in un paio di minuti Graham ha recuperato tutte queste informazioni.
Ecco cosa dicono gli esperti:
Questo è il classico compromesso che aziende come Apple cercano di raggiungere per bilanciare la facilità d’uso rispetto alla privacy e alla sicurezza. In generale, i protocolli di individuazione automatica richiedono lo scambio di informazioni personale perché funzionino e, come tali, possono rivelare informazioni sensibili. La maggior parte delle persone attente alla sicurezza disabilitano i protocolli di rilevamento automatico come AirDrop, attivandoli solo quando servono.
Sebbene Apple adotti varie misure per difendere i propri utenti, i ricercatori di sicurezza hanno scoperto che è abbastanza semplice decifrare numero di telefono:
Nel caso in cui qualcuno utilizzi AirDrop per condividere un file o un’immagine, in quel momento sta trasmettendo un hash SHA256 parziale del suo numero di telefono. Nel caso in cui sia in uso la condivisione della password Wi-Fi, il dispositivo sta inviando hash SHA256 parzialie del suo numero di telefono, dell’indirizzo e-mail dell’utente e dell’ID Apple dell’utente. Mentre vengono trasmessi solo i primi tre byte dell’hash, i ricercatori della Hexway affermano che quei byte forniscono informazioni sufficienti per recuperare l’intero numero di telefono.
Il numero di telefono completo può essere recuperato perché un utente malintenzionato può creare un database con i valori di hash per ogni numero di telefono nella propria area geografica. Il post non spiega in che modo il numero di telefono viene associato solo ai primi tre byte dell’hash, ma gli script sono disponibili su GitHub.
Cosa ne pensate?