Kerentanan AirDrop Apple Dapat Membocorkan Detail Pengguna kepada Siapa Saja di Kedekatan: Peneliti

Matikan AdBlocknya

Tolong matikan AdBlocknya untuk mengakses kontent.

Teknologi AirDrop Apple dapat membocorkan nomor telepon dan alamat email pengguna, menurut para peneliti yang mengatakan bahwa mereka pertama kali memberi tahu Apple tentang kerentanan pada tahun 2019. AirDrop adalah teknologi nirkabel milik Apple yang digunakan untuk berbagi file seperti foto dan video secara nirkabel di iOS , iPadOS, dan perangkat macOS dan diperkenalkan pada tahun 2011. Perangkat ini menggunakan Wi-Fi dan Bluetooth untuk membuat koneksi nirkabel dan bertukar file. Mekanisme otentikasi timbal balik yang digunakan oleh AirDrop dapat disalahgunakan untuk mencuri nomor telepon dan alamat email pengguna.

Para peneliti dari Universitas Teknik Jerman Darmstadt telah menemukan kerentanan yang dapat memengaruhi pengguna Apple mana pun yang berbagi file menggunakan AirDrop. Para peneliti menemukan bahwa ada masalah dalam penggunaan fungsi hash yang bertukar nomor telepon dan alamat email selama proses penemuan.

Meskipun ini cukup memprihatinkan, pengguna hanya terpengaruh dalam keadaan tertentu. Untuk satu hal, siapa pun yang telah mengatur pengaturan penerimaan mereka ke Semua orang berisiko. Tetapi selain itu, bahkan jika pengaturan Anda disetel ke Nonaktif atau Hanya Kontak, jika lembar berbagi Anda terbuka dengan AirDrop (tempat perangkat Anda mencari perangkat lain untuk terhubung) berisiko, menurut para peneliti.

Apple menggunakan fungsi hash SHA-256 baru untuk mengenkripsi nomor telepon dan alamat email pengguna yang mengakses AirDrop. Meskipun hash tidak dapat diubah menjadi teks jelas oleh seorang pemula, para peneliti menemukan bahwa penyerang yang memiliki perangkat berkemampuan Wi-Fi dan berada dalam jarak fisik dapat memulai proses untuk mendekripsi enkripsi.

Kelompok peneliti yang terdiri dari lima ahli dari lab Secure Mobile Networking (SEEMOO) universitas dan Cryptography and Privacy Engineering Group (ENCRYPTO) merinci kerentanan dalam sebuah kertas.

Sesuai perincian yang diberikan dalam makalah ini, ada dua cara khusus untuk memanfaatkan kekurangannya. Penyerang dapat, dalam satu kasus, mendapatkan akses ke detail pengguna begitu mereka berada di dekat mereka dan membuka lembar berbagi atau menu berbagi di iPhone, iPad, atau Mac mereka. Namun, dalam kasus kedua, penyerang dapat membuka lembar berbagi atau menu berbagi di perangkat mereka dan kemudian mencari perangkat terdekat untuk melakukan jabat tangan otentikasi timbal balik dengan penerima yang merespons.

Kasus kedua hanya valid jika pengguna telah mengatur penemuan perangkat mereka di AirDrop ke Semua Orang. Ini tidak seluas kasus pertama di mana seseorang yang mencoba berbagi file melalui perangkat Apple dapat diserang.

Selain merinci kekurangannya, para peneliti telah mengembangkan solusi yang disebut “PrivateDrop” yang menggunakan protokol persimpangan set kriptografis pribadi untuk memproses berbagi antara dua pengguna tanpa menukar nilai hash yang rentan.

Para peneliti juga mengatakan dalam pernyataan bahwa mereka secara pribadi memberi tahu Apple tentang cacat AirDrop pada Mei 2019, meskipun perusahaan tidak mengakui masalah tersebut dan membalasnya.

AirDrop hadir sebagai layanan yang dimuat sebelumnya di lebih dari 1,5 miliar perangkat Apple yang semuanya diduga rentan karena cacat yang ditemukan oleh para peneliti. Apple tidak menanggapi komentar tentang apakah itu memperbaiki masalah pada saat mengajukan cerita.

Ini bukan pertama kalinya AirDrop ditemukan memiliki masalah keamanan. Layanan pada Agustus 2019 diketahui memiliki masalah yang memungkinkan penyerang mengakses informasi tentang status ponsel, informasi baterai, status Wi-Fi, ketersediaan buffer, dan versi OS. Pada saat itu, AirDrop juga ditunjukkan untuk mengirim sebagian SHA256 hash dari nomor telepon, ID Apple, dan alamat email. Perusahaan juga tidak menanggapi temuan itu.

Yang mengatakan, sampai masalah menerima perbaikan resmi, pengguna Apple dapat menghindari tertangkap oleh penyerang melalui AirDrop hanya dengan mematikannya ketika mereka tidak menggunakan fitur tersebut.

.

Leave a Reply