„Ekosystem” Apple, zarówno urządzenia, jak i oprogramowanie, chwalony jest za bezpieczeństwo i dobre podejście do prywatności użytkowników. Nie oznacza to jednak, że jest fortecą nie do zdobycia. Udowadnia to podatność znaleziona w funkcji AirDrop.
Atak można przeprowadzić w określonych warunkach
Wśród użytkowników sprzętu Apple dość sporą popularnością cieszy się rozwiązanie AirDrop, które umożliwia wygodne i szybkie przesyłanie plików i innych danych. Dostępne jest ono na iPhone’ach, iPadach, iPodach touch, a także na komputerach Mac.
Mimo iż funkcja została zaprojektowana przy zachowaniu wysokich standardów, to pod względem bezpieczeństwa nie jest idealna. Raport opublikowany przez naukowców z niemieckiego Technische Universitat Darmstadt informuje o nowoodkrytej luce, która może stanowić zagrożenie dla właścicieli iUrządzeń.
Co prawda, badacze twierdzą, że podatność może doprowadzić do „poważnego wycieku prywatnych danych”, ale nie powinniśmy popadać w panikę. Należy bowiem zaznaczyć, że wykonanie ataku wymaga spełnienia określonych warunków. Ofiara musi znajdować się w naprawdę bliskiej odległości, a napastnik musi mieć w tym momencie uruchomioną funkcję udostępniania AirDrop.
Cyberprzestępca może odczytać wrażliwe dane
Funkcja AirDrop, aby ustalić czy druga osoba jest „kontaktem”, wykorzystuje mechanizm wzajemnego uwierzytelniania. Działanie sprowadza się do porównania numeru telefonu i adresu e-mail pierwszej osoby z wpisami w książce adresowej drugiego użytkownika.
W celu ochrony danych, wspomniany przed chwilą mechanizm, korzysta z szyfrowania wymienianych informacji. W założeniach powinno to zapewnić odpowiedni poziom bezpieczeństwa, ale nie zawsze się to sprawdza. Badacze zwracają uwagę, że „ukryte” dane można dość sprawnie odszyfrować, stosując między innymi atak siłowy.
Oczywiście nie jest to pierwsza wpadka Apple, która rzuca cień na standardy bezpieczeństwa, ale zazwyczaj firma Tima Cooka dość sprawnie reaguje na zgłoszenia. Co więcej, dzięki dobremu systemowi aktualizacji urządzeń, wykryte podatności często są szybko eliminowane.
Niestety, tym razem sytuacja wygląda mniej ciekawie. Specjaliści ds. bezpieczeństwa mieli przekazać Apple informacje o luce w 2019 roku. Firma jednak nie odniosła się w żaden sposób do udostępnionego raportu, a także nie potwierdziła, że faktycznie funkcja AirDrop ma niedociągnięcia w kwestii dbania o prywatność i bezpieczeństwo. Według badaczy brak reakcji ze strony producenta iPhone’ów oznacza, że ponad 1,5 mld urządzenie jest obecnie narażonych na opisaną podatność.