bug svela email e numeri di telefono

AirDrop è la funzionalità di Apple che permette di condividere documenti, foto, video e altro tra iPhone, iPad, iPod touch e Mac. I ricercatori di sicurezza della Technical University di Darmstadt hanno scoperto una vulnerabilità nella tecnologia che può essere sfruttata per accedere a email e numeri di telefono degli utenti. Al momento l’unica soluzione è non usare AirDrop.

AirDrop svela email e numeri di telefono

AirDrop utilizza WiFi e Bluetooth Low Energy per stabilire una connessione con i dispositivi nelle vicinanze. L’utente può scegliere la condivisione solo con i contatti presenti nella rubrica, con tutti o con nessuno. Prima di stabilire la connessione viene trasmesso un “annuncio Bluetooth” che contiene un hash cifrato parziale di email e numero di telefono del mittente. Se questo hash corrisponde ad una email o numero di telefono presente nella rubrica del dispositivo ricevente (o se il dispositivo è impostato per ricevere da tutti), i due device effettuano un handshake su rete WiFi, scambiandosi gli hash SHA-256 completi.

Eseguendo un attacco “brute-force” sarebbe possibile scoprire email e numero di telefono, sfruttando database creati negli ultimi 20 anni e derivanti da vari furti di dati. Ciò apre le porte ad una serie di possibili attacchi, tra cui phishing e truffe. Un malintenzionato dovrebbe solo aprire il menu Condividi del Mac o il pannello di condivisione dell’iPhone per intercettare la trasmissione Bluetooth.

I ricercatori hanno contattato Apple circa due anni fa, senza ricevere risposta. Hanno anche proposto una loro soluzione open source (il codice è su GitHub), denominata PrivateDrop, che sfrutta una tecnica crittografica più sicura, nota come “private set intersection“. Al momento l’unico modo per evitare problemi è non usare AirDrop, soprattutto in luoghi pubblici.