Redacción BL
|
AirDrop de Apple facilita compartir imágenes, videos y presentaciones entre sus dispositivos, pero un nuevo informe sugiere que los usuarios pueden estar compartiendo mucho más con ladrones digitales.
Un equipo de Technische Universitat Darmstadt en Alemania descubrió que los piratas informáticos pueden obtener números de teléfono y correos electrónicos de cualquier usuario cercano de AirDrop a través de la opción ‘Solo contactos’.
La opción utiliza un ‘mecanismo de autenticación mutua’ para confirmar que el remitente y el receptor están en la lista de contactos del otro, pero esto puede ser utilizado por un mal actor en el rango de un dispositivo Apple para obtener la información privada.
Aunque Apple utiliza encriptación cuando se intercambian datos, los investigadores alemanes descubrieron que se descifra fácilmente mediante «técnicas simples como los ataques de fuerza bruta».
Sin embargo, el problema se presentó a Apple en 2019, pero el gigante tecnológico ‘ni reconoció el problema ni indicó que están trabajando en una solución’.
El informe, según los investigadores, sugiere que unos 1.500 millones de dispositivos Apple podrían estar en riesgo.
Desplácese hacia abajo para ver el video
Un equipo de Technische Universitat Darmstadt en Alemania descubrió que los piratas informáticos pueden obtener números de teléfono y correos electrónicos de cualquier usuario cercano de AirDrop a través de la opción ‘Solo contactos’. Todo lo que requieren es un dispositivo con capacidad Wi-Fi y proximidad física a un objetivo
« Como atacante, es posible conocer los números de teléfono y las direcciones de correo electrónico de los usuarios de AirDrop, incluso como un completo extraño », compartieron investigadores de Technische Universitat Darmstadt en el estudio.
«Todo lo que necesitan es un dispositivo con capacidad Wi-Fi y la proximidad física a un objetivo que inicia el proceso de descubrimiento al abrir el panel para compartir en un dispositivo iOS o macOS».
El problema tiene su origen en el uso de funciones hash por parte de Apple para «ofuscar» los números de teléfono y las direcciones de correo electrónico intercambiados durante el proceso de descubrimiento.
Sin embargo, el equipo también desarrolló una solución a la falla llamada ‘PrivateDrop’, que podría usarse en lugar de AirDop hasta que Apple elimine la vulnerabilidad.
El informe, según los investigadores, sugiere que unos 1.500 millones de dispositivos Apple podrían estar en riesgo.
«PrivateDrop se basa en protocolos de intersección de conjuntos privados criptográficos optimizados que pueden realizar de forma segura el proceso de descubrimiento de contactos entre dos usuarios sin intercambiar valores de hash vulnerables», explican los investigadores.
«La implementación iOS / macOS de PrivateDrop por parte de los investigadores muestra que es lo suficientemente eficiente como para preservar la experiencia de usuario ejemplar de AirDrop con un retraso de autenticación muy por debajo de un segundo».
Apple rara vez anuncia problemas con sus sistemas que podrían ser utilizados por malos actores en actividades maliciosas, pero hizo sonar la alarma en enero cuando se descubrieron tres vulnerabilidades de seguridad que ‘pueden haber sido explotadas activamente’ por piratas informáticos.
El gigante tecnológico emitió un comunicado en su página de soporte de Apple que muestra que se identificaron dos errores en Webkit, el motor del navegador que impulsa Safari y uno en el sistema operativo central, Kernel.
La falla del Kernel se describió como una ‘condición de carrera’ que puede permitir que las aplicaciones maliciosas eleven los privilegios, pero la actualización lo corrige con un ‘bloqueo mejorado’.
Sin embargo, Apple lanzó rápidamente iOs 14.4 después de ser notificado de los problemas que aparentemente solucionaron cualquier problema.
