Přejít k hlavnímu obsahu
Bezpečnost

Uživatelé iPhonu v ohrožení: varování před bezpečnostními dírami v oblíbené funkci

Jiří Palyza 29.04.2021

Bezpečnostní experti upozornili na zranitelnost v bezdrátové službě AirDrop společnosti Apple. Útočníci mohou zneužít chybu protokolu a získat například přístup k telefonním číslům nebo e-mailovým zprávám uživatelů.

Šikovnou funkci AirDrop uživatelé iPhonů používají pro bezdrátové sdílení souborů, například obrázků nebo videí. Nová studie ale odhalila, že prostřednictvím zranitelnosti v obslužném softwaru mohou k uživatelským datům přistupovat i nezvaní hosté. Detaily jsou popsané ve článku s názvem "Apple AirDrop shares more than files", zveřejněném na webové stránce Informatik.tu-darmstadt.de.

Pro zajištění, aby soubory byly sdíleny pouze s kontakty, AirDrop před přenosem souborů pomocí iPhonů nebo iPadů kontroluje číslo mobilního telefonu a e-mailovou adresu druhého uživatele a porovnává je s údaji, uloženými v seznamu kontaktů.

Bezpečnostní experti ale upozornili na to, že útočníci mohou tento mechanismus využít k získání uživatelských údajů – a to i když nejsou jejich údaje uloženy v kontaktech s daným uživatelem. Jediné, co potřebují, je zařízení podporující Wi-Fi, které se nachází v blízkosti zařízení oběti a pomocí kterého lze zahájit proces zjišťování zařízení v okolí otevřením panelu sdílení v systémech iOS nebo macOS. 

Apple: zranitelnost iPhonů a dalších zařízení je už známá dva roky

iphonethreat

iPhone a další mobilní zařízení Apple: výzkumníci objevili bezpečnostní díru ve funkci bezdrátového přenosu AirDrop. | Zdroj: Jan Vašek/Pixabay

Pokud je na iPhonu nebo iPadu otevřena nabídka Sdílet, jsou pro skrytí vyměňovaných telefonních čísel a e-mailových adres v procesu ověřování používány hashovací funkce. Tím je zajištěna autentizace s jinými zařízeními pomocí funkce AirDrop. Jak ale upozorňují bezpečnostní experti, není to dostatečná ochrana uživatelských dat. Zašifrovaná data by útočníci mohli v řádu milisekund zpětně dešifrovat, a to pomocí jednoduchých technik, ke kterým patří například útok hrubou silou.

Podle bezpečnostních expertů Apple o této zranitelnosti ví už zhruba dva roky. Doposud ale nebyla uzavřena a je stále aktivní i v nejnovějších verzích systémů iOS a macOS. Specialisté vyvinuli vlastní, bezpečnější ověřovací protokol, který nazvali »PrivateDrop« a který nahrazuje chybný původní design AirDrop. Je založen na optimalizovaných kryptografických protokolech, které mohou provádět bezpečný proces zjišťování kontaktů mezi dvěma uživateli bez výměny zranitelných hodnot hash.

V současnosti mají uživatelé možnost zcela zablokovat službu AirDrop prostřednictvím položky »Omezení obsahu a soukromí« v položce nabídky »Čas u obrazovky«. Příjem přes AirDrop lze v systémech iOS také zakázat, ale kontaktní údaje se v takovém případě při otevření nabídky »Sdílet« stále odesílají.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme


články odjinud