0
0
Duas brechas de segurança no recurso AirDrop, descobertas por pesquisadores da Universidade Técnica de Darmstadt (na Alemanha), podem permitir que invasores visualizem dados pessoais como números de telefone e endereços de email associados a um iPhone, iPad ou Mac.
Ambas as vulnerabilidades são classificadas como graves, especialmente por não requererem acesso físico a um dispositivo, e afetam o protocolo de autenticação do AirDrop, de acordo com os pesquisadores.
Em particular, as falhas permitem que um invasor descubra os identificadores de contato (ou seja, números de telefone e endereços de email) de usuários com AirDrop habilitado na proximidade. As falhas originam-se da troca de valores de tais identificadores durante o processo de descoberta, que podem ser facilmente revertidos por meio de ataques de força bruta.
Uma vez nas mãos de pessoas mal-intencionadas, esses dados podem ser usados, por exemplo, para campanhas de spear phishing ou vendidos em sites e fóruns não seguros da web — onde outros criminosos podem aproveitar deles para uma série de fins.
Os pesquisadores disseram que informaram a Apple sobre as vulnerabilidades em maio de 2019 — e de seus possíveis efeitos em outubro de 2020. A Apple, no entanto, não comentou ainda se planeja resolver esses problemas ou se já tem uma solução em desenvolvimento.
Independentemente disso, os pesquisadores criaram um projeto de código aberto chamado “PrivateDrop” que “se integra perfeitamente ao protocolo do AirDrop” e garante a correção dos problemas supracitados ao randomizar as informações trocadas entre dispositivos.
FONTE: MACMAGAZINE