AirDrop, Apple aygıtlarının dosyaları, fotoğrafları ve daha fazlasını kablosuz olarak birbirleri arasında güvenli ve rahat bir şekilde aktarmasına olanak tanıyan bir özelliktir. Kullanıcılar öğeleri kendi cihazları, arkadaşları, aileleri ve hatta yabancılarla paylaşabilir. Bununla birlikte, rahatlık ve kullanım kolaylığı, yeni keşfedilen bir güvenlik açığı nedeniyle zayıflayabilir.
TU Darmstadt‘daki araştırmacılar, AirDrop‘un bir kişiyi bulmak ve bir alıcının telefonundaki bir kişi olduğunu doğrulamak için kullandığı işlemin özel bilgileri açığa çıkarabileceğini keşfettiler. AirDrop üç mod içerir; Kapalı, Yalnızca Kişiler, Herkes. Varsayılan ayar Yalnızca Kişiler’dir; bu, yalnızca adres defterinizdeki kişilerin cihazınızda fotoğrafları, dosyaları ve daha fazlasını AirDrop‘a bağlayabileceği anlamına gelir.
Araştırmacılar, hem alıcının hem de gönderenin birbirlerinin adres defterinde olduğunu doğrulayan karşılıklı kimlik doğrulama mekanizmasının özel bilgileri açığa çıkarmak için kullanılabileceğini keşfettiler. Araştırmacılar, bir yabancının mekanizmayı ve sürecini bir iOS veya macOS cihazının menzilinde paylaşma paneli açıkken özel bilgileri elde etmek için kullanabileceğini iddia ediyor. Araştırmacıların açıkladığı gibi:
Bir saldırgan olarak AirDrop kullanıcılarının telefon numaralarını ve e-posta adreslerini tamamen yabancı olarak bile öğrenmek mümkündür. İhtiyaç duydukları tek şey, Wi-Fi özellikli bir aygıt ve bir iOS veya macOS aygıtında paylaşım bölmesini açarak keşif sürecini başlatan bir hedefe fiziksel yakınlıktır.
Keşfedilen sorunlar, Apple‘ın keşif işlemi sırasında değiş tokuş edilen telefon numaralarını ve e-posta adreslerini “gizlemek” için karma işlevler kullanmasından kaynaklanmaktadır. Bununla birlikte, TU Darmstadt‘tan araştırmacılar, hash değerlerinin kaba kuvvet saldırıları gibi basit teknikler kullanılarak hızlı bir şekilde tersine çevrilebildiğinden, hashing işleminin gizliliği koruyan temas keşfi sağlamada başarısız olduğunu zaten gösterdi.
Diğer tarafın bir kişi olup olmadığını belirlemek için AirDrop, bir kullanıcının telefon numarasını ve e-posta adresini diğer kullanıcının adres defterindeki girişlerle karşılaştıran karşılıklı bir kimlik doğrulama mekanizması kullanır.
Araştırmacılara göre, Apple, Mayıs 2019‘da kusurdan haberdar edildi ve o zamandan beri yapılan birçok yazılım güncellemesine rağmen, kusur devam ediyor.