AirDropは、Appleデバイスがファイルや写真などを相互にワイヤレスで安全かつ便利に転送できるようにする機能です。ユーザーは、自分のデバイス、友人、家族、さらには見知らぬ人とアイテムを共有できます。ただし、新たに発見されたセキュリティ上の欠陥により、利便性と使いやすさが損なわれる可能性があります。
ダルムシュタット工科大学が発見しました AirDropが誰かを見つけて確認するために使用するプロセスが受信者の電話の連絡先であることは、個人情報を公開する可能性があります。 AirDropには3つのモードがあります。受信、連絡先のみ、全員。デフォルト設定は連絡先のみです。これは、アドレス帳内のユーザーのみが写真やファイルなどをデバイスにAirDropできることを意味します。
研究者たちは、受信者と送信者の両方がお互いの名簿に載っていることを確認する相互認証メカニズムを使用して、個人情報を公開できることを発見しました。研究者たちは、見知らぬ人がiOSまたはmacOSデバイスの範囲内でメカニズムとそのプロセスを使用して、共有パネルを開いて個人情報を取得できると主張しています。研究者が説明するように:
攻撃者として、完全に見知らぬ人であっても、AirDropユーザーの電話番号と電子メールアドレスを知ることができます。必要なのは、Wi-Fi対応デバイスと、iOSまたはmacOSデバイスで共有ペインを開いて検出プロセスを開始するターゲットに物理的に近接していることだけです。
発見された問題は、発見プロセス中に交換された電話番号と電子メールアドレスを「難読化」するためのAppleのハッシュ関数の使用に根ざしています。ただし、TU Darmstadtの研究者は、ブルートフォース攻撃などの単純な手法を使用していわゆるハッシュ値をすばやく元に戻すことができるため、ハッシュがプライバシーを保護する連絡先の検出を提供できないことをすでに示しています。
相手が連絡先であるかどうかを判断するために、AirDropは、ユーザーの電話番号と電子メールアドレスを他のユーザーのアドレスブックのエントリと比較する相互認証メカニズムを使用します。
研究者によると、Appleは2019年5月に欠陥について知らされ、それ以来いくつかのソフトウェアアップデートにもかかわらず、欠陥は残っています。
人気の投稿