Llegamos a ustedes gracias a:



Alertas de Seguridad

Una empresa de seguridad advierte

De una "importante fuga de privacidad" en AirDrop

[23/04/2021] AirDrop es una forma cómoda de compartir archivos y fotos con las personas que lo rodean, pero un equipo de investigadores de seguridad advierte de que una falla podría permitir a los desconocidos robar su información personal incluso si están bloqueados en el sistema.

La importante filtración de privacidad ha sido descubierta por investigadores de la Universidad Técnica de Darmstadt (Alemania), que afirman haber informado a Apple sobre la filtración hace casi dos años, pero que sigue existiendo. Según el informe, el usuario ni siquiera necesita compartir un archivo para ser vulnerable.

Como atacante, es posible conocer los números de teléfono y las direcciones de correo electrónico de los usuarios de AirDrop, incluso siendo un completo desconocido. Todo lo que necesitan es un dispositivo con capacidad Wi-Fi y la proximidad física a un objetivo que inicie el proceso de descubrimiento abriendo el panel de compartir en un dispositivo iOS o macOS.

El problema se debe a que Apple utiliza funciones hash para ocultar los números de teléfono y las direcciones de correo electrónico durante el proceso de descubrimiento de AirDrop. Sin embargo, los investigadores de TU afirman que el hashing no proporciona un descubrimiento de contactos que preserve la privacidad, ya que los denominados valores hash pueden ser revertidos rápidamente utilizando técnicas simples como los ataques de fuerza bruta. Una vez que aparece la hoja de compartir y AirDrop empieza a buscar personas cercanas, su información queda expuesta y es vulnerable a los ataques, afirman los investigadores.

La privacidad es uno de los principales objetivos de Apple con sus productos, y hace todo lo posible para asegurarse de que su información personal no se comparte sin su consentimiento. Por ejemplo, Sign In with Apple utiliza un servicio de retransmisión de correo electrónico privado para que las empresas no puedan ver su dirección personal.

Desarrollaron una solución que utiliza protocolos de intersección de conjuntos privados optimizados que pueden realizar de forma segura el proceso de descubrimiento de contactos sin dejar vulnerables los datos personales. El grupo afirma que Apple no ha reconocido el problema ni ha indicado que esté trabajando en una solución. Los investigadores publicarán sus conclusiones en agosto en el Simposio de Seguridad de USENIX.