کمیته رکن چهارم – محققان دانشگاه فنی دارمشتات آلمان میگویند وجود آسیبپذیری در ایردراپ اپل ممکن است به هکری که در نزدیکی قربانی باشد، امکان دهد شمارهموبایل و آدرس ایمیل قربانی را بفهمد.
طبق ادعای محققان امنیتی در دانشگاهی آلمانی، قابلیت محبوب ایردراپ اپل (Apple AirDrop) که برای اشتراکگذاری فایل کاربرد دارد، احتمالا درمقابل هک آسیبپذیر است. محققان دانشگاه دانشگاه فنی دارمشتات آلمان در مقالهای میگویند هکری که در نزدیکی قربانی باشد، بهدلیل وجود شکاف حریم خصوصی در ایردراپ میتواند شمارهموبایل و آدرس ایمیل کاربر را پیدا کند.
مشکل اصلی از یکی از بخشهای ایردراپ به نام Contacts Only نشئت میگیرد. Contacts Only در ایردراپ از مکانیسم احراز هویت دوجانبه استفاده میکند تا بفهمد که آیا شمارهموبایل و آدرس ایمیل کاربر در فهرست مخاطبان کاربر دیگر یافت میشود یا خیر.
بهادعای محققان دانشگاه فنی دارمشتات آلمان، اطلاعات مذکور در جریان این فرایند بهشکل رمزنگاریشده در هش وجود دارند؛ اما هکری که ازلحاظ فیزیکی در مجاورت کاربر باشد و به دستگاه مجهز به وایفای دسترسی داشته باشد، میتواند با تکنیکهای سادهای نظیر حملات بروت فورس (جستوجوی فراگیر) اطلاعات را بردارد و حفاظ امنیتی سیستم را دور بزند.
نقص امنیتی وابسته به سیستمعامل نیست و این یعنی کاربران iOS و مک OS و آیپد OS را متأثر میکند. این هک حتی اگر هکر در فهرست مخاطبان قربانی نباشد، انجامشدنی است. محققان برای اثبات ادعایشان، حملهای آزمایشی به ایردراپ ترتیب دادهاند که جزئیات آن در گیت هاب دردسترس است.
محققان دانشگاه فنی دارمشتات میگویند که ابتدا در می ۲۰۱۹ (اردیبهشت و خرداد ۱۳۹۸) اطلاعات مربوط به این آسیبپذیریِ احتمالی را به اپل ارائه دادهاند؛ اما مشکل در بهروزرسانیهای منتشرشده پس از آن تاریخ هنوز رفع نشده است. ازاینرو، محققان تصمیم گرفتند جزئیات آسیبپذیری را رسانهای کنند تا کاربران از آن مطلع باشند. بهنوشتهی دیجیتال ترندز، ازآنجاکه مشکل از سال ۲۰۱۹ وجود داشته و همچنان رفع نشده است، تقریبا ۱٫۵ میلیارد دستگاه اپل را متأثر میکند.
محققان دانشگاه فنی دارمشتات میگویند سرویسی با نام Private Drop بهعنوان جایگزین ایردراپ طراحی کردهاند که به مبادلهی مقادیر آسیبپذیر هش اتکا نمیکند. ناگفته نماند تاکنون، اپل به درخواست خبرنگاران برای ارائهی توضیح پاسخ نداده است.
منبع : زومیت
