APPLE NOTICIAS PORTADA

1.65 mil millones de usuarios de iPad, iPhone y MacBook de Apple en peligro por agujero de seguridad

Una investigación de la Universidad Técnica de Darmstadt en Alemania ha descubierto un enorme agujero de seguridad en AirDrop, el sistema de intercambio de archivos entre dispositivos de Apple, que permite a los piratas informáticos acceder fácilmente a los datos de los usuarios. Además, los investigadores explican que advirtieron a Apple sobre esta falla hace casi tres años y la compañía “ni reconoció el problema ni indicó que están trabajando en una solución”. Y ese es solo el comienzo (Fuente Forbes). 

El ataque

“Dado que los datos confidenciales se comparten normalmente exclusivamente con personas que los usuarios ya conocen, AirDrop solo muestra los dispositivos receptores de los contactos de la libreta de direcciones de forma predeterminada”, explican los investigadores. “Para determinar si la otra parte es un contacto, AirDrop utiliza un mecanismo de autenticación mutua que compara el número de teléfono y la dirección de correo electrónico de un usuario con las entradas en la libreta de direcciones del otro usuario”.

En la superficie, esto tiene sentido, pero mirando más de cerca, el equipo descubrió: “Como atacante, es posible aprender los números de teléfono y las direcciones de correo electrónico de los usuarios de AirDrop, incluso como un completo extraño. Todo lo que necesitan es un dispositivo con capacidad Wi-Fi y proximidad física a un objetivo que inicie el proceso de descubrimiento abriendo el panel para compartir en un dispositivo iOS o macOS “.

A partir de aquí, el equipo encontró fallas arraigadas en el uso de funciones hash por parte de Apple para ” ofuscar ” los números de teléfono intercambiados y las direcciones de correo electrónico durante el proceso de descubrimiento: “el hash no proporciona el descubrimiento de contactos que preserva la privacidad, ya que los llamados valores hash se pueden revertir rápidamente utilizando técnicas sencillas como los ataques de fuerza bruta “. En este punto, los piratas informáticos pueden acceder a los datos del usuario. 

PrivateDrop

Los investigadores explican que informaron inmediatamente a Apple de sus hallazgos en mayo de 2019. Como se mencionó anteriormente, Apple no ha reconocido el problema ni ha intentado solucionarlo. Pero lo que hace que esto sea aún más impactante es que, como parte de su informe inicial, el equipo de investigación de Darmstadt incluso proporcionó a Apple una solución llamada ‘PrivateDrop’. 

“PrivateDrop se basa en protocolos de intersección de conjuntos privados criptográficos optimizados que pueden realizar de forma segura el proceso de descubrimiento de contactos entre dos usuarios sin intercambiar valores hash vulnerables”, afirma el equipo, y señala: “Es lo suficientemente eficiente como para preservar la experiencia de usuario ejemplar de AirDrop con un retraso de autenticación muy por debajo de un segundo “. 

1,650,000,000 dispositivos Apple vulnerables

La consecuencia de estos descubrimientos y la falta de acción de Apple significa que 1,650 millones de “dispositivos Apple siguen siendo vulnerables a los ataques de privacidad descritos” y no está claro cuándo o incluso si recibirán una solución. Mientras tanto, el equipo de investigación de Darmstadt dice que “los usuarios solo pueden protegerse deshabilitando el descubrimiento de AirDrop en la configuración del sistema y absteniéndose de abrir el menú para compartir”. 

A %d blogueros les gusta esto: