Телефонный номер можно украсть с iPhone по Wi-Fi


iMore.com

Немецкие специалисты в области кибербезопасности увидели уязвимость в недостатке защиты функции беспроводного обмена данными AirDrop в операционных системах Apple. Они описали метод, позволяющий украсть телефонный номер и почтовый адрес жертвы — владельца iPhone.

Исследователи из Дармштадтского технологического университета обвинили Apple в том, что компания уже почти два года игнорирует серьезную недоработку в программном обеспечении своих смартфонов. Из-за нее телефонный номер абонента и его адрес электронной почты может при определенных условиях стать известен злоумышленникам.

Немецкие специалисты в области кибербезопасности увидели уязвимость в недостатке защиты функции беспроводного обмена данными AirDrop. Такой обмен можно открыть для любых устройств Apple, расположенных поблизости, запретить вовсе или разрешить только для своих контактов. Проблемы с утечкой телефонного номера и адреса возможны как раз в последнем случае.

Чтобы выявить среди устройств Apple поблизости те, которые принадлежат кому-то из списка контактов пользователя, операционная система организует в защищенном режиме обмен информацией из этих списков и ее сопоставление. Это делается для всех "яблочных" гаджетов, находящихся поблизости. Если пользователи записаны в контактах друг у друга, они увидят устройства друг друга на панели AirDrop и смогут пересылать данные.

Дармштадтские исследователи утверждают, что шифрование данных при поиске поблизости пользователей из списка контактов недостаточно сильное. Атакующему нужно вооружиться устройством с Wi-Fi и расположиться поблизости от включившего AirDrop "для контактов" пользователя. Затем он сможет перехватить данные, отправляемые айфоном жертвы для сопоставления списков контактов, и расшифровать их позже методом перебора ключей. Так он узнает телефонный номер и адрес электронной почты жертвы.

Для того, чтобы осуществить атаку, требуется совпадение довольно большого количества условий. Однако кража данных таким путем не является невозможной. Исследователи разработали метод более качественной защиты AirDrop и предложили его Apple, одновременно уведомив компанию об уязвимости, еще в мае 2019-го. До сих пор компания никак не отреагировала на это обращение.