Alcuni ricercatori di sicurezza hanno evidenziato un potenziale rischio per AirDrop, che in alcuni casi può condividere il numero di telefono e l’indirizzo e-mail di un utente iPhone con persone estranee.
Affinché gli hacker possano rubare queste informazioni private, dovrebbero eseguire un attacco brute force o effettuare un’altra tecnica di attacco. Inoltre, gli hacker vrebbero bisogno di effettuare queste operazioni quando si trovano fisicamente in prossimità di un utente sul cui iPhone è aperto il menu di condivisione con AirDrop abilitato.
Sebbene queste siano condizioni molto particolari, i ricercatori della Technische Universitat Darmstadt in Germania ritengono che questa vulnerabilità rappresenti una grave rischio per la privacy:
Per determinare se l’altra parte è un contatto noto, AirDrop utilizza un meccanismo di autenticazione reciproca che confronta il numero di telefono e l’indirizzo e-mail di un utente con le voci nella rubrica dell’altro utente.
Sebbene Apple crittografi tali informazioni, la tecnica di hashing non riesce a fornire una condivisione dei contatti che preservi la privacy, poiché i cosiddetti valori hash possono essere rapidamente invertiti utilizzando tecniche come attacchi brute force.
Gli analisti di sicurezza hanno scoperto la falla di AirDrop nel 2019 e l’hanno condivisa ad Apple lo scorso maggio, senza aver mai ricevuto alcuna conferma o risposta dall’azienda.
Finora, Apple non ha né riconosciuto il problema né indicato se stanno lavorando a una soluzione. Ciò significa che gli utenti di oltre 1,5 miliardi di dispositivi Apple sono ancora vulnerabili agli attacchi su AirDrop. Gli utenti possono solo proteggersi disabilitando il rilevamento di AirDrop nelle impostazioni di sistema e astenendosi dall’aprire il menu di condivisione.
Vedremo se Apple rilascerà una dichiarazione in merito ora che la falla è stata condivisa pubblicamente.