В AirDrop есть уязвимости, с помощью которых можно извлечь номер телефона и другие данные пользователя

Эксперты из Дармштадского технического университета в Германии обнаружили уязвимости в технологии Apple AirDrop, которая используется для передачи файлов по Wi-Fi и Bluetooth. С их помощью можно извлечь номер телефона, адрес электронной почты и другие данные пользователя. 

По словам специалистов, уязвимости связаны с процессом аутентификации, который осуществляется на начальном этапе AirDrop-соединения, когда пара устройств пытаются обнаружить друг друга и определить, есть ли номер телефона пользователя в списке контактов другого девайса. 

В процессе соединения девайсы обмениваются пакетами AWDL (Apple Wireless Direct Link), которые содержат не только техническую информацию об устройствах, но и личные данные пользователей: номера телефонов, идентификаторы Apple ID и адреса электронной почты. Для защиты этих данных от перехвата Apple использует алгоритм шифрования SHA256.

Исследователи объясняют, что гаджет будет транслировать пакеты обнаружения во всех направлениях и в любое время, если AirDrop активирован. Злоумышленнику, находящемуся в непосредственной близости от устройства, не составит особого труда с помощью Wi-Fi-карты перехватить эти сообщения, а после взломать хешированные данные и получить доступ к личной информации пользователя.

Исследователи говорят, что сообщили о проблемах в Apple ещё в мае 2019 года, но компания до сих пор не предоставила исправление, хотя под угрозой могут находиться 1,5 млрд устройств.