Puedes obtener números de teléfono y direcciones de correo electrónico a través de AirDrop

Expertos de la Universidad Técnica de Darmstadt (Alemania) descubrieron dos vulnerabilidades en AirDrop adecuadas para extraer números de teléfono y direcciones de correo electrónico.

El equipo tiene previsto presentar su informe en agosto de 2021, en la conferencia de USENIX.

Alexander Heinrich
Investigador de seguridad y desarrollador de aplicaciones
Descubrimos dos fallos de diseño en el protocolo subyacente que permiten a los atacantes conocer los números de teléfono y las direcciones de correo electrónico de los dispositivos emisores y receptores.

Estos fallos están relacionados con el proceso de autentificación que tiene lugar al principio de una conexión AirDrop: cuando los dispositivos intentan descubrirse mutuamente y determinar si pertenecen a usuarios que se conocen (comprobando si un número de teléfono está en la lista de contactos del otro dispositivo).

Para ello, los dispositivos de Apple intercambian paquetes AWDL (Apple Wireless Direct Link) que contienen información sobre los dispositivos y sus propietarios, incluyendo especificaciones técnicas e información personal (números de teléfono, ID de Apple, direcciones de correo electrónico). Para proteger los datos de la interceptación, Apple los encripta utilizando SHA256.

El problema con AirDrop permite averiguar los números de teléfono

Los investigadores explican que el dispositivo emitirá estos paquetes de detección en todas las direcciones y en todo momento si AirDrop está activado en el dispositivo.

Como resultado, un atacante que se encuentre cerca del objetivo puede utilizar la tarjeta WiFi para interceptar estos mensajes y luego hackear los datos con hash y recuperar la información personal.

Los científicos notificaron a Apple sus hallazgos en dos ocasiones, en mayo de 2019 y en octubre de 2020, e incluso sugirieron a la compañía que utilizara un nuevo protocolo PrivateDrop personalizable para evitar estas filtraciones. Sin embargo, los expertos aún no han recibido respuesta de Apple, y no está claro si la empresa tiene previsto solucionar los problemas que descubrió.

Estos problemas se reportaron por primera vez en 2019, en ese momento los expertos describieron varios métodos para recuperar la información a través de AirDrop, incluyendo el estado del teléfono, el estado del WiFi, la versión del sistema operativo, la disponibilidad del búfer, etc.

Ahora, el mismo equipo de investigación ha ampliado su estudio, demostrando que también se pueden recuperar otros datos, como números de teléfono y direcciones de correo electrónico.

 

Anteriormente
NoticiasLa información de 533 millones de usuarios de Facebook es de dominio público
No me gustó.
0
Interesante.
1
Genial.
2
Añade un comentario