AirDrop от Apple — это довольно полезная функция, которая позволяет мгновенно передавать файлы на близлежащие устройства Apple. Однако иногда устройства могут отправлять больше данных, чем ожидают пользователи. Исследователи безопасности обнаружили, что злоумышленники могут получить номер телефона и адрес электронной почты пользователя с помощью AirDrop. Эта уязвимость затрагивает около 1,5 миллиарда устройств.
Ранее на этой неделе исследователи из Технического университета Дармштадта опубликовали запись в блоге, в которой рассказали о своих манипуляциях с AirDrop. Уязвимость основана на том, что AirDrop использует механизм взаимной аутентификации для сравнения номера телефона и адреса электронной почты пользователя с записями в адресной книге устройства, с которым происходит обмен данными. Как выяснили исследователи, злоумышленники могут получить эти данные, имея устройство с поддержкой Wi-Fi и находясь рядом с целью, которая инициирует процесс обнаружения, открывая панель общего доступа к файлам на устройстве iOS или macOS. Эта уязвимость вызвана тем, как номер телефона и адрес электронной почты хэшируются во время аутентификации.
Исследователи отмечают, что впервые обратили внимание на эту проблему еще в 2019 году и сразу же сообщили об этом Apple. Однако калифорнийский технологический гигант до сих пор не предпринял никаких действий для устранения этой уязвимости. Для пользователей, которые боятся утечки данных, исследователи рекомендуют полностью отключить AirDrop.
