Araştırmacılar, Apple’ın kablosuz dosya paylaşım protokolünde, bir kullanıcın e-posta adresleri ve telefon numaraları gibi iletişim bilgilerinin açığa çıkmasına neden olabilecek kişisel verileri sızdırılabileceğini belirtti 

AirDropIoS ve MacOS işletim sistemlerinde bulunan yakın mesafeli kablosuz iletişimden yararlanarak aygıtlar arasında dosya aktarmasına olanak tanır. Bu özellik sayesinde kullanıcının telefon numarası ve e-posta adresini, diğer kullanıcının adres defterindeki girişlerle karşılaştıran bir kimlik doğrulama mekanizması ile yalnızca kullanıcıların kişi listelerinde bulunan alıcı cihazları gösterirken, keşfedilen zafiyet sayesinde Wi-Fi yardımıyla bu tür korumaları bypass edebilir.   

Almanya Darmstadt Teknik Üniversitesi’nden bir akademisyen ekibi”Bir saldırgan olarak, AirDrop kullanıcılarının telefon numaralarını ve e-posta adreslerini tamamen dışardan biri bile bilgileri elde etmesi mümkündür. Kötü niyetli saldırganların İhtiyaç duydukları tek şey, Wi-Fi özellikli bir cihaz ve bir IoS veya MacOS cihazında paylaşım bölmesini açarak keşif sürecini başlatan bir hedefe fiziksel yakınlık.” Olarak açıklamada bulundu. 

Zafiyetin sebebi, Apple’ın keşfi işlemi sırasında değiş tokuş edilen kişi tanımlayıcılarını (ör. telefon numaraları ve e-posta adresleri) maskelemek için karma işlevler kullanmasından kaynaklanıyor. Kötü niyetli bir alıcı, hashing uygulanmış kişi tanımlayıcılarını toplayı bunlara brute force saldırıları gibi teknikleri kullanarak milisaniyeler için çözer ve aynı zamanda kötü niyetli bir göndereni alıcının telefon numarası da dahil olmak üzere hashing uygulanmış kişi tanımlayıcılarını önceden herhangi bir bilgi gerektirmeden alıcının bilgisini öğrenmesi mümkündür 

Apple gizlilik sızıntısını düzeltmek için herhangi bir güncelleme yayınlamamasından dolayı 1,5 milyardan fazla Apple cihazı bu saldırıya karşı savunmasızdır. Kullanıcılar yalnızca sistem ayarlarından AirDrop keşfini devre dışı bırakarak ve paylaşım menüsünü açmadan kendilerini koruyabilirler.

Kaynakça:
youtube.com

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >