Kelemahan keamanan yang terkait dengan produk Apple mungkin tidak sebanyak seperti pada perangkat lain, tetapi tentu saja ada. Ambil contoh penemuan terbaru, kali ini terhubung ke AirDrop.
Ars Technica memiliki laporan awal pada hari Kamis, menguraikan apa yang peneliti temukan mengenai fitur berbagi nirkabel. Menurut temuan, kelemahan keamanan dalam AirDrop memungkinkan siapa pun dengan laptop dan perangkat lunak pemindaian untuk memastikan nomor telepon dari perangkat berbagi..
Dan kapan digunakan melawan Mac? Perangkat keras kemudian dapat membagikan alamat MAC perangkat itu melalui celah keamanan.
Laporan Hexway termasuk perangkat lunak konsep bukti yang menunjukkan siaran informasi. CEO Errata Security Rob Graham menginstal proof-of-concept pada laptop yang dilengkapi dengan dongle packet sniffer nirkabel, dan dalam satu atau dua menit ia menangkap rincian lebih dari selusin iPhone dan Apple Watches yang berada dalam jangkauan radio dari bar tempat dia bekerja.
Sayangnya, para peneliti mengatakan ini adalah kelemahan keamanan yang cukup umum ketika datang ke hasil ketika perusahaan mencoba untuk menemukan keseimbangan antara kemudahan penggunaan dan keamanan / privasi:
Ini adalah trade-off klasik yang coba dilakukan oleh perusahaan seperti Apple ketika menyeimbangkan kemudahan penggunaan vs privasi / keamanan, ”peneliti privasi dan keamanan independen Ashkan Soltani mengatakan kepada Ars. “Secara umum, protokol penemuan otomatis sering memerlukan pertukaran informasi pribadi untuk membuatnya berfungsi — dan dengan demikian — dapat mengungkapkan hal-hal yang dapat dianggap sensitif. Kebanyakan orang yang berpikiran keamanan dan privasi saya tahu menonaktifkan protokol penemuan otomatis seperti AirDrop, dll hanya di luar prinsip.
Adapun untuk mengambil keuntungan dari kelemahan keamanan, ternyata itu cukup mudah, bahkan jika Apple telah mencoba menghilangkan bahaya:
Jika seseorang menggunakan AirDrop untuk berbagi file atau gambar, mereka menyiarkan sebagian SHA256 hash dari nomor telepon mereka. Dalam hal berbagi kata sandi Wi-Fi sedang digunakan, perangkat mengirim hash SHA256 parsial nomor teleponnya, alamat email pengguna, dan ID Apple pengguna. Sementara hanya tiga byte pertama dari hash yang disiarkan, peneliti dengan perusahaan keamanan Hexway (yang menerbitkan penelitian) mengatakan bahwa byte tersebut memberikan informasi yang cukup untuk memulihkan nomor telepon penuh..
Fitur berbagi kata sandi dapat menghasilkan hasil yang sama:
Anda hanya perlu memilih jaringan dari daftar, dan perangkat Anda akan mulai mengirim permintaan LE Bluetooth ke perangkat lain meminta mereka untuk kata sandi. Bagaimana teman Anda tahu bahwa orang yang meminta kata sandi adalah Anda? Permintaan BLE broadband mengandung data Anda, yaitu, hash SHA256 dari nomor telepon Anda, AppleID, dan email. Hanya 3 byte pertama hash yang dikirim, tetapi itu cukup untuk mengidentifikasi nomor telepon Anda (sebenarnya, nomor tersebut dipulihkan dari permintaan HLR yang memberikan status dan wilayah nomor telepon).
Laporan lengkapnya tentu layak untuk dilihat, terutama jika Anda sering menggunakan AirDrop saat berada di tempat umum.
Anda juga dapat melihat kerentanan AirDrop di bawah ini:
Menurut Anda seberapa pentingkah jenis keamanan ini bagi Apple sebagai perusahaan, dan bagi pemilik perangkat di luar sana di alam liar? Seberapa sering Anda menggunakan AirDrop?