O AirDrop da Apple é uma excelente tecnologia que permite aos utilizadores partilharem rapidamente conteúdos com outros utilizadores de dispositivos da Apple, de forma simples. No entanto, a tecnologia pode ser também usada para partilhar mais do que se devia em algumas situações.
Um grupo de investigadores da Universidade de Darmstadt, na Alemanha, revelou ter descoberto uma falha no AirDrop da Apple que, quando explorada, pode permitir aos atacantes obterem algumas informações pessoais das vítimas: nomeadamente o email da Apple e número de telefone.
Por norma, o AirDrop apenas pode aceder a dados mais sensíveis do sistema quando a ligação é estabelecida com pessoas que o utilizador conheça, e que se encontrem na lista de contactos do dispositivo. Para determinar se um determinado dispositivo é associado a um dos contactos do utilizador, o AirDrop usa um sistema de autenticação que compara o número de telefone e email do destino com a lista de contactos do utilizador.
No entanto, segundo os investigadores, este sistema é exatamente onde se encontra a falha que pode permitir fornecer dados adicionais para os atacantes. Tudo o que é necessário será que o atacante tenha um dispositivo capaz de analisar a rede AirDrop no seu redor, e se encontre perto de potenciais vítimas. Ao iniciar um “scan” da área por dispositivos com o AirDrop ativo, os atacantes podem assim obter dados como o email e número de telefone, que são normalmente enviados durante o processo de verificação feito por este sistema.
Apesar de os dados que são usados para autenticação se encontrarem encriptados, os investigadores afirmam que a encriptação dos mesmos é consideravelmente simples, e é possível obter acesso através de métodos simples como brute-force.
Tecnicamente, esta falha permite que um atacante possa recolher o email e número de telefone das suas vítimas, sem que estas se apercebam, desde que o AirDrop nos seus dispositivos esteja ligado.
A Apple foi notificada sobre esta falha em Maio de 2019, no entanto, a mesma ainda se encontra presente nas versões mais recentes do sistema operativo da empresa. A única forma dos utilizadores se protegerem contra este ataque, até que a Apple lance uma atualização para tal, será desativando o sistema de AirDrop quando não se encontre em uso.
Nenhum comentário
Seja o primeiro!