פרוטוקול AirDrop של אפל יכול להדליף בטעות את כתובת הדואר האלקטרוני ומספר הטלפון שלך לכל מכשיר אפל הסמוך, כך גילו חמישה חוקרים גרמנים. הם אומרים שאפל ידעה על הבעיה הזו - שהופכת 1.5 מיליארד מכשירים לפגיעים - כמעט שנתיים, אך מוסיפים שיש להם פתרון אפשרי.

"ניתן ללמוד את מספרי הטלפון וכתובות הדוא"ל של משתמשי AirDrop - אפילו כזר לחלוטין", קובע א אתר שהעלה החוקרים. "תוקף רק דורש מכשיר התומך ב- Wi-Fi וקרבה פיזית למטרה."

  • כנופיית הכופר רוצה שאפל 'תקנה בחזרה' שרטוטים גנובים
  • ה האנטי וירוס הטוב ביותר של Mac תוֹכנָה
  • ועוד: הרעיון של אייפון 13 מדהים - ויש בו הכל

"משתמשי אפל עדיין פגיעים", מוסיף האתר. "הם יכולים להגן על עצמם רק על ידי השבתת גילוי AirDrop בהגדרות המערכת ועל ידי הימנעות מפתיחת חלונית השיתוף."

איך להגן על עצמך

כדי לוודא שאינך חשוף להתקפות אלה, תרצה להגדיר את ה- AirDrop שלך ל"קבל כבוי "באייפון או באייפד, ובאפשרות" אפשר לי להתגלות על ידי אף אחד "ב- Mac.

ייתכן שתרצה גם לכבות את ה- Wi-Fi ואת ה- Bluetooth כשאתה לא משתמש בהם, אם כי לא ברור אם פעולה זו אכן תכבה את AirDrop.

לחלופין, אתה יכול פשוט לתת ל"כולם "לשלוח לך קבצי AirDrop, כי אז לא תהיה החלפה של כתובות דוא"ל או מספרי טלפון. בסופו של דבר אתה עלול לראות הרבה תמונות מטרידות שנשלחות על ידי משתמשי iPhone אחרים.

כיצד AirDrop יוזמת חיבורים

כאשר המכשיר התומך ב- AirDrop שלך מוכן לשיתוף קובץ, הוא משדר טופס מוצפן של הטלפון שלך מספר ו / או כתובת דוא"ל (מה שקשור לחשבון Apple שלך) לכל דבר שיש בו Wi-Fi או Bluetooth טווח.

היא עושה זאת כדי שמכשירי אפל אחרים עם AirDrop מוגדרים לברירת המחדל "אנשי קשר בלבד" יוכלו לבדוק אם אתה נמצא ברשימות אנשי הקשר של המשתמשים שלהם במקרה שתרצה להתחבר. (מכשירים עם AirDrop מוגדרים כ"כולם "לא מבצעים בדיקה זו, אך עדיין מקבלים את מספרי הטלפון או כתובות הדוא"ל המוצפנים).

מכשירי אפל אינם משדרים מספרי טלפון או כתובות דוא"ל בפועל. במקום זאת, הם שולחים "hashes" של ערכים אלה, כלומר מחרוזות טקסט ארוכות שאתה מקבל כאשר אתה מריץ טקסט באמצעות אלגוריתמים מתמטיים קבועים.

לדוגמה, מספר הטלפון 1 (212) 555-1212, עם הסרת רווחים וסוגריים, היה יוצא מה אלגוריתם hash של SHA-256 שמשמש AirDrop כ "26321368f6c23510f79a21085024dd5a4f958e6c22dc057a358d1b5a1fc5c932."

מכשירי אפל אחרים בודקים חשיפות אלה מול חשיפות של כתובות דוא"ל ומספרי טלפון שיש להם ברשימות אנשי הקשר שלהם. אם מתבצעת התאמה, המכשירים הללו עונים למכשירים שלך באמצעות חשיפת דוא"ל ומספר טלפון משלהם.

אם בשני המכשירים מופיעים אנשי הקשר זה מזה ברשימת אנשי הקשר שלהם, אז נוצר חיבור AirDrop וניתן לשתף קבצים. (שוב, ההגדרה "כולם" מדלגת על המחאה הזו ופשוט משתפת קבצים עם כל אחד.)

נשמע טוב, אבל יש בעיה

הבעיה היא שאמנם חשיפות אמורות להיות בלתי הפיכות - אך לא אמור להיות מסוגל לחייג בחזרה חשיש כדי להשיג את מספר הטלפון המקורי או את כתובת הדוא"ל - זה לא בדיוק איך זה עובד אמיתי חַיִים.

"פונקציות חשיש קריפטוגרפיות אינן יכולות להסתיר את קלטיהן (הנקראות preimages) כאשר שטח הקלט קטן או צפוי, למשל עבור מספרי טלפון או כתובות דוא"ל", קובע עבודה אקדמית חיבר החוקרים אלכסנדר היינריך, מתיאס הוליק, תומאס שניידר, מילאנו סטוט וכריסטיאן וויינרט.

היינריך, הוליק וסטוט עבדו בעבר דרכים לתקוף את הבסיס הטכני של AirDrop.

במילים אחרות, מכיוון שמספרי הטלפון עוקבים אחר פורמטים צפויים, לא ייקח אפילו מחשב בינוני לקבץ רשימה מראש. של חשיפות ידועות עבור כל מספרי הטלפון האפשריים בקוד אזור מסוים, או כל 10 מיליארד מספרי הטלפון האפשריים בערך בצפון אמריקה.

האקר יכול לשים רשימה מחוברת מראש של חשיפות מספר טלפון על המחשב הנייד שלו, ואז לשבת במקום ציבורי - כמו מחוץ לכניסה. למטה של ​​תאגיד גדול בשעת הצהריים - ולאסוף באופן פסיבי את מספרי האייפונים הסמוכים בזמן שהם מנסים להקים את AirDrop מניות.

ההאקר יכול גם לאלץ פעיל מכשירים אחרים לוותר על מספרי הטלפון שלהם. התוקף יכול ליזום מניות AirDrop על ידי שליחת חשיש של מספר טלפון שאנשים רבים עשויים לעשות יש ברשימות אנשי הקשר שלהם - נניח, מספר המרכזייה הראשי של החברה, או מספר משאבי האנוש שלה מַחלָקָה.

כל iPhone שעובר עם מספר זה ברשימת אנשי הקשר שלו, יחזיר את הגיבוב של מספר הטלפון שלו.

בסדר, אז מה אם זר מכיר את המספר הנייד שלי?

מכיוון שמספרי טלפון סלולרי משמשים (בטעות) לאימות זהות עבור אתגרי סיסמאות, כניסה לחשבון בנק ו אימות דו-גורמי, אתה עלול לגרום נזק רב אם תקבל את מספרי הטלפון של אנשים בעלי פרופיל גבוה או כל מי שיש לו הרבה ביטקוין.

קצת יותר קשה לבצע הידור מראש של כתובות דוא"ל, מכיוון שהן אינן תואמות לכל אורך מוגדר ויכולות להכיל אותיות כמו גם מספרים. אך האקר יכול להגביל את החשיפות המחושבות מראש לכתובות המסתיימות ב- "@ gmail.com" או "@ yahoo.com", או לכתובות המופיעות בפורמט כתובת ספציפי של חברה.

"לחלופין, תוקף יכול ליצור טבלת בדיקת דוא"ל מהפרות נתונים או להשתמש בשירות חיפוש מקוון לכתובות דוא"ל מגובשות", נכתב בעיתון.

לאחר מכן יוכל ההאקר לקצור כתובות דוא"ל באופן זהה למספרי הטלפון. כתובות דוא"ל אלה, מציין נייר המחקר, יכולות לשמש "לפעילות הונאה כמו התקפות דיוג (חנית) או להרוויח על ידי מכירת נתונים אישיים."

פיתרון מציג את עצמו

חוקרי דרמשטאדט אמרו כי הם סיפרו לאפל באופן פרטי על תרחיש ההתקפה הפסיבית במאי 2019, והתקיפה הפעילה באוקטובר 2020. ביולי 2019, א קבוצה שנייה מצא באופן עצמאי את נושא ההתקפה הפסיבית ויצא איתו לציבור.

"אפל טרם הגיבה אם הם מתכוונים לטפל בבעיות AirDrop הללו", נכתב במחקר. (המדריך של טום הגיע לאפל לקבלת תגובה, ונעדכן את הסיפור הזה כשנקבל תשובה.)

החוקרים יצרו פרויקט קוד פתוח בשם "PrivateDrop"כי" משתלב בצורה חלקה בערמת הפרוטוקולים הנוכחית של AirDrop. " 

הם אומרים כי PrivateDrop, עליהם סיפרו ל- Apple באוקטובר, יתקן את בעיות דליפת הנתונים של AirDrop על ידי החלפת ערכים אחרים למספרי הטלפון וכתובות הדוא"ל.

קבל גישה מיידית לחדשות חדשות, הביקורות החמות ביותר, מבצעים מעולים וטיפים מועילים.

תודה שנרשמת למדריך של טום. תקבל דוא"ל אימות בקרוב.

הייתה בעיה. אנא רענן את הדף ונסה שוב.

אין דואר זבל, אנו מבטיחים. תוכל לבטל את הרישום בכל עת ולעולם לא נשתף את פרטיך ללא רשותך.