La vulnerabilidad de AirDrop puede revelar su número de teléfono y dirección de correo electrónico a otros

Investigadores de una universidad alemana han descubierto una nueva vulnerabilidad de AirDrop. La falla, si se explota, podría revelar su número de teléfono y dirección de correo electrónico a través de AirDrop a personas cercanas sin el consentimiento del usuario.

Según el estudio “AirDrop comparte más que archivos”, los investigadores de la Technische Universitat Darmstadt han identificado cómo AirDrop falla en las palabras y cómo ni siquiera requiere que se produzca la transferencia. Los investigadores dicen que Apple fue notificado del problema en mayo de 2019, sin embargo, Apple no ha reconocido el problema y no ha publicado ninguna actualización al respecto.

“Los estudios realizados por investigadores de TU en el Departamento de Ciencias de la Computación muestran que las personas no invitadas también pueden acceder a los datos”.

El estudio explica primero cómo funciona AirDrop. De forma predeterminada, AirDrop está configurado en “Solo contactos”. Ahora, lo que hace es cruzar coincidencias si los contactos están en ambos teléfonos al realizar una ‘autenticación mutua’, que compara el número de teléfono y la dirección de correo electrónico de un usuario con las entradas en la libreta de direcciones del otro usuario.

El estudio revela que aunque la autenticación está encriptada, es ‘débil’. Dice que, como atacante, es posible averiguar los números de teléfono y las direcciones de correo electrónico de los usuarios cercanos de AirDrop.

“Los problemas descubiertos tienen su origen en el uso que hace Apple de funciones hash para “ocultar” los números de teléfono y las direcciones de correo electrónico intercambiados durante el proceso de descubrimiento. Los investigadores de TU Darmstadt ya demostraron que el hashing no proporciona un descubrimiento de contactos que preserve la privacidad, ya que los llamados valores hash se pueden revertir rápidamente utilizando técnicas simples como los ataques de fuerza bruta”.

Lo que significa el estudio es que incluso si la autenticación falla, un atacante puede realizar ingeniería inversa del proceso de autenticación mediante la aplicación de técnicas de fuerza bruta y averiguar el número del usuario.

Los investigadores dicen que han notificado a Apple sobre el problema, pero aún no han recibido ninguna respuesta de ellos.

¿Usas AirDrop en tu iPhone y iPad? ¿Con qué frecuencia lo usas? ¡Háganos saber en la sección de comentarios!

[Via
Technische Universitat Darmstadt
]

Related Posts