Ars Technica, en son yayınladığı raporda Apple’ın kablosuz paylaşım özelliği AirDrop hakkındaki bazı açığı ortaya çıkardı. AirDrop içindeki güvenlik açığı, dizüstü bilgisayar ve tarama yazılımı olan herkesin paylaşım cihazının telefon numarasını tespit etmesini mümkün kılıyor.

Apple ürünleriyle ilgili güvenlik kusurları, diğer cihazlarda olduğu kadar çok olmayabilir, ancak yine de var. AirDrop içerisindeki güvenlik açığı numaranızın çalınmasına neden olabilir.

Hexway’in raporu, bilgi yayınını gösteren kanıt yazılımı içeriyor. Errata Güvenlik CEO’su Rob Graham, konseptin kanıtını kablosuz paket dinleyicisi donanımına sahip bir dizüstü bilgisayara kurdu ve bir veya iki dakika içinde, kapsama alanında bulunan bir düzineden fazla iPhone ve Apple Watch’ın detaylarını yakaladı.

Araştırmacıla,; bunun Apple’ın kullanım kolaylığı ile güvenlik/mahremiyet arasında denge kurmaya çalışırken ortaya çıkan, oldukça yaygın bir güvenlik açığı olduğunu söyledi.

Bağımsız mahremiyet ve güvenlik araştırmacısı Ashkan Soltani, “Bu, Apple gibi şirketlerin kullanım kolaylığı ile mahremiyet/güvenlik dengelemesi yaparken denemeye çalıştığı klasik takas. Otomatik keşif protokolleri, genellikle çalışmalarını sağlamak için kişisel bilgilerin değişimini gerektirir ve bu nedenle hassas sayılabilecek şeyleri ortaya çıkarabilir. Güvenlik ve mahremiyet konusunda çalışan çoğu kişinin, AirDrop gibi otomatik keşif protokollerini prensip olarak devre dışı bıraktığını biliyorum.” dedi.

Açıklamalara göre birinin bir dosyayı veya resmi paylaşmak için AirDrop kullanıyor olması durumunda, telefon numaralarının kısmi bir SHA256 hash’ini yayınlıyorlar. Wi-Fi şifre paylaşımı kullanılıyorsa cihaz; telefon numarasının, kullanıcının e-posta adresinin ve kullanıcının Apple kimliğinin kısmi SHA256 karma mesajlarını gönderiyor. Hash’inin yalnızca ilk üç baytı yayınlanırken Hexway araştırmacıları, bu baytların telefon numarasının tamamını kurtarmak için yeterli bilgi sağladığını söyledi.

Paylaş