Šikovnou funkci AirDrop uživatelé iPhonů používají pro bezdrátové sdílení souborů, například obrázků nebo videí. Nová studie ale odhalila, že prostřednictvím zranitelnosti v obslužném softwaru mohou k uživatelským datům přistupovat i nezvaní hosté. Detaily jsou popsané ve článku s názvem "Apple AirDrop shares more than files", zveřejněném na webové stránce Informatik.tu-darmstadt.de.
Pro zajištění, aby soubory byly sdíleny pouze s kontakty, AirDrop před přenosem souborů pomocí iPhonů nebo iPadů kontroluje číslo mobilního telefonu a e-mailovou adresu druhého uživatele a porovnává je s údaji, uloženými v seznamu kontaktů.
Bezpečnostní experti ale upozornili na to, že útočníci mohou tento mechanismus využít k získání uživatelských údajů – a to i když nejsou jejich údaje uloženy v kontaktech s daným uživatelem. Jediné, co potřebují, je zařízení podporující Wi-Fi, které se nachází v blízkosti zařízení oběti a pomocí kterého lze zahájit proces zjišťování zařízení v okolí otevřením panelu sdílení v systémech iOS nebo macOS.
Apple: zranitelnost iPhonů a dalších zařízení je už známá dva roky
iPhone a další mobilní zařízení Apple: výzkumníci objevili bezpečnostní díru ve funkci bezdrátového přenosu AirDrop. | Zdroj: Jan Vašek/Pixabay
Pokud je na iPhonu nebo iPadu otevřena nabídka Sdílet, jsou pro skrytí vyměňovaných telefonních čísel a e-mailových adres v procesu ověřování používány hashovací funkce. Tím je zajištěna autentizace s jinými zařízeními pomocí funkce AirDrop. Jak ale upozorňují bezpečnostní experti, není to dostatečná ochrana uživatelských dat. Zašifrovaná data by útočníci mohli v řádu milisekund zpětně dešifrovat, a to pomocí jednoduchých technik, ke kterým patří například útok hrubou silou.
Podle bezpečnostních expertů Apple o této zranitelnosti ví už zhruba dva roky. Doposud ale nebyla uzavřena a je stále aktivní i v nejnovějších verzích systémů iOS a macOS. Specialisté vyvinuli vlastní, bezpečnější ověřovací protokol, který nazvali »PrivateDrop« a který nahrazuje chybný původní design AirDrop. Je založen na optimalizovaných kryptografických protokolech, které mohou provádět bezpečný proces zjišťování kontaktů mezi dvěma uživateli bez výměny zranitelných hodnot hash.
V současnosti mají uživatelé možnost zcela zablokovat službu AirDrop prostřednictvím položky »Omezení obsahu a soukromí« v položce nabídky »Čas u obrazovky«. Příjem přes AirDrop lze v systémech iOS také zakázat, ale kontaktní údaje se v takovém případě při otevření nabídky »Sdílet« stále odesílají.