Передача данных: чем опасен AirDrop для владельцев Apple

ИБ-эксперты обнаружили уязвимость в технологии AirDrop

В технологии AirDrop, использующейся в устройствах Apple для передачи файлов, был обнаружен серьезный недостаток — во время трансфера данных можно перехватить личные данные абонента. Таким образом злоумышленники узнают реальный номер телефона жертвы.

Технология AirDrop является удобным инструментом для владельцев устройств Apple, позволяющим легко обмениваться фотографиями, видео и ссылками между собой. Тем не менее, эксперты по кибербезопасности компании Hexway заявили о том, что в AirDrop был обнаружен серьезный недостаток, которым могут воспользоваться злоумышленники.

Дело в том, что в основе AirDrop лежит Bluetooth LE, который передает информацию в виде хэша.

Таким образом, хакеры могут перехватить эту информацию и дешифровать ее обратно, получив настоящий телефонный номер абонента.

Если при этом юзер AirDrop также пользуется функцией передачей пароля от Wi-Fi, то в руках мошенников могут также оказаться уникальный идентификационный номер Apple ID и электронная почта.

Глава ИБ-компании Errata Security Роб Грэм подтвердил порталу Ars Technica наличие этой уязвимости, добавив, что ее последствия не столько страшные, насколько тревожные, так как по сути любой злоумышленник может получить доступ к личной информации без ведома пользователя.

При этом Hexway уточняет, что найденный недостаток скорее является особенностью работы технологии, нежели уязвимостью. При этом исследователи сообщают, что проблема с приватностью была обнаружена во всех версиях операционной системы iOS, начиная с 10.3.1 (включая бету iOS 13).

«Газета.Ru» пообщалась с экспертами, чтобы выяснить, чего ждать владельцам устройств Apple и стоит ли начинать паниковать. По словам руководителя бизнеса Apple в Softline Антона Карпова, в рамках протокола установления соединения по Bluetooth LE iPhone действительно передает пакеты, которые, в теории, возможно прослушать, поймать хэш, обратить его и получить телефонный номер.

«Однако хэширование — это сложная криптографическая операция, которая по определению очень трудно обратима и получить из хэша исходный текст настолько трудоемко, что никаких вычислительных мощностей для этого просто не хватит», — считает Карпов.

Технический директор Check Point Software Technologies в России и СНГ Никита Дуров также считает, что проблема с AirDrop, описанная Hexway, не настолько критичная, как это может показаться на первый взгляд.

«Гипотетически, злоумышленники действительно могут идентифицировать номер устройства и другие данные владельца. Например, можно узнать, находится ли поблизости конкретное устройство. Но вряд ли такая практика будет широко распространена — для этого нужна точечная работа хакеров, а это достаточно долго и может не оправдать усилия», — пояснил эксперт.

Консультант Центра информационной безопасности компании «Инфосистемы Джет» Александр Гон указал на тот факт, что опасность раскрытия телефонного номера равна тем же рискам, что и возможность обнаружения этих данных через скомпрометированные базы данных.

«Сценарий, при котором злоумышленник целенаправленно попытается получить личные данные таким способом, скорее актуален для топ-менеджмента больших организаций, политиков и прочих медийных персон», — рассказал собеседник «Газеты.Ru».

Тем не менее, даже теоретическая возможность кражи данных является угрозой, для противодействия которой можно соблюсти ряд предосторожностей.

«Иногда возможности AirDrop могут быть использованы для определения личности человека.

Еще одно противоправное использование AirDrop, которое сейчас находится в тренде — так называемый «киберфлешинг», когда люди рассылают грубые или неприличные фотографии незнакомым людям в общественных местах.

Наши специалисты рекомендуют настроить AirDrop таким образом, чтобы только пользователи из контактов могли отправлять контент. Можно полностью отключить функцию AirDrop, если не планируете активно ее использовать в данный момент», — рекомендует глава отдела исследования угроз и защиты для мобильных устройств Avast Николаос Хрисаидос.

В конце июля 2019 года один из подрядчиков Apple рассказал о том, что компания прослушивает разговоры, которые владелец «яблочного» гаджета ведет с голосовым ассистентом Siri. Как оказалось, голосовые команды пользователя действительно записывались и направлялись лингвистам для анализа с целью улучшения качества работы помощника. Через неделю после скандала Apple заявила о приостановлении программы контроля качества Siri, а также разрешила пользователям самим выбирать, предоставлять свои записи для анализа или нет.