شایعه: ایردراپ اپل نقصی امنیتی دارد که اطلاعات شخصی کاربر را فاش می‌کند

شنبه ۴ اردیبهشت ۱۴۰۰ - ۱۹:۳۰
مطالعه 2 دقیقه
محققان دانشگاه فنی دارمشتات آلمان می‌گویند وجود آسیب‌پذیری در ایردراپ اپل ممکن است به هکری که در نزدیکی قربانی باشد، امکان دهد شماره‌موبایل و آدرس ایمیل قربانی را بفهمد.
تبلیغات

طبق ادعای محققان امنیتی در دانشگاهی آلمانی، قابلیت محبوب ایردراپ اپل (Apple AirDrop) که برای اشتراک‌گذاری فایل کاربرد دارد، احتمالا درمقابل هک آسیب‌پذیر است. محققان دانشگاه دانشگاه فنی دارمشتات آلمان در مقاله‌ای می‌گویند هکری که در نزدیکی قربانی باشد، به‌دلیل وجود شکاف حریم خصوصی در ایردراپ می‌تواند شماره‌موبایل و آدرس ایمیل کاربر را پیدا کند.

به‌گزارش سی‌نت، مشکل اصلی از یکی از بخش‌های ایردراپ به نام Contacts Only نشئت می‌گیرد. Contacts Only در ایردراپ از مکانیسم احراز هویت دوجانبه استفاده می‌کند تا بفهمد که آیا شماره‌موبایل و آدرس ایمیل کاربر در فهرست مخاطبان کاربر دیگر یافت می‌شود یا خیر.

به‌ادعای محققان دانشگاه فنی دارمشتات آلمان، اطلاعات مذکور در جریان این فرایند به‌شکل رمزنگاری‌شده در هش وجود دارند؛ اما هکری که ازلحاظ فیزیکی در مجاورت کاربر باشد و به دستگاه مجهز به وای‌فای دسترسی داشته باشد، می‌تواند با تکنیک‌های ساده‌ای نظیر حملات بروت فورس (جست‌و‌جوی فراگیر) اطلاعات را بردارد و حفاظ امنیتی سیستم را دور بزند.

نقص امنیتی وابسته‌ به سیستم‌عامل نیست و این یعنی کاربران iOS و مک OS و آیپد OS را متأثر می‌کند. این هک حتی اگر هکر در فهرست مخاطبان قربانی نباشد، انجام‌شدنی است. محققان برای اثبات ادعایشان، حمله‌ای آزمایشی به ایردراپ ترتیب داده‌اند که جزئیات آن در گیت هاب دردسترس است. 

محققان دانشگاه فنی دارمشتات می‌گویند که ابتدا در می ۲۰۱۹ (اردیبهشت و خرداد ۱۳۹۸) اطلاعات مربو‌ط‌ به این آسیب‌پذیریِ احتمالی را به اپل ارائه داده‌اند؛ اما مشکل در به‌روزرسانی‌های منتشرشده پس‌ از آن تاریخ هنوز رفع نشده است. ازاین‌رو، محققان تصمیم گرفتند جزئیات آسیب‌پذیری را رسانه‌ای کنند تا کاربران از آن مطلع باشند. به‌نوشته‌ی دیجیتال ترندز، ازآنجاکه مشکل از سال ۲۰۱۹ وجود داشته و همچنان رفع نشده است، تقریبا ۱٫۵ میلیارد دستگاه اپل را متأثر می‌کند.

محققان دانشگاه فنی دارمشتات می‌گویند سرویسی با نام Private Drop به‌عنوان جایگزین ایردراپ طراحی کرده‌اند که به مبادله‌ی مقادیر آسیب‌پذیر هش اتکا نمی‌کند. ناگفته نماند تاکنون، اپل به درخواست خبرنگاران برای ارائه‌ی توضیح پاسخ نداده است. 

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات