Black Hat Asia 2023

ผู้เชี่ยวชาญเผยช่องโหว่บน Apple Airdrop สามารถใช้ขโมยข้อมูลได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Technical University of Darmstadt ในเยอรมัน ได้เปิดถึงช่องโหว่ใน Airdrop ที่สามารถใช้เพื่อขโมยข้อมูลเบอร์โทรศัพท์และอีเมลของเหยื่อได้

Credit: ShutterStock.com

ไอเดียก็คือระหว่างขั้นตอนการค้นหา AirDrop ทาง Apple ใช้ฟังก์ชัน Hash (SHA-256) ปิดบังข้อมูลอีเมลและเบอร์มือถือเอาไว้ อย่างไรก็ดีจากข้อมูลของทาง Sophos ชี้ว่า Apple พลาดตรงที่ไม่ได้ทำ Salting ด้วยเหตุนี้เองคนร้ายจึงสามารถคำนวณหาค่า Hash ที่เป็นไปได้ (https://nakedsecurity.sophos.com/2021/04/23/apple-airdrop-has-significant-privacy-leak-say-german-researchers/) ทั้งนี้เพียงแค่คนร้ายอยู่ในระยะสัญญาณ Wi-Fi เดียวกับเหยื่อและเริ่มต้นการค้นหาด้วยการเปิด Sharing Panel ใน iOS หรือ macOS

นักวิจัยเผยว่าอันที่จริงพบปัญหานี้ตั้งแต่ปี 2019 แล้ว แต่ก็ไม่รู้ว่าทำไม Apple ยังมีช่องโหว่นี้อยู่ ซึ่งได้แนะนำให้ผู้ใช้ปิด AirDrop Discovery ใน System Setting เอาไว้ อีกมุมหนึ่งพวกเขาได้พัฒนาโปรโตคอลใหม่ที่ชื่อ ‘PrivateDrop’ ที่ช่วยแก้ปัญหาในขั้นตอนดังกล่าว และเตรียมนำไปนำเสนอในงาน USENIX Security Symposium ในเดือนสิงหาคมนี้

ที่มา : https://siliconangle.com/2021/04/25/security-issues-apple-airdrop-allow-attackers-steal-personal-information/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Adobe Summit 2023: ขับเคลื่อนการเติบโตด้วย “ประสบการณ์” [Guest Post]

• อะโดบีเปิดตัวนวัตกรรมมากมายสำหรับ Adobe Experience Cloud โดยเน้นบริการใหม่ด้าน generative AI, personalization, การจัดการด้านคอนเทนต์ และการวิเคราะห์ผลิตภัณฑ์ รวมถึงโซลูชั่น Content Supply Chain …

IBM Business Automation โซลูชั่นเพื่อปรับปรุงกระบวนการธุรกิจด้วยการผสมผสานระบบ BPM, ECM และ Case Manager [Guest Post]

บทความนี้จะแนะนำการใช้ IBM Business Automation เพื่อปรับปรุงกระบวนการธุรกิจภายในองค์กร โดยเน้นไปที่ระบบ Business Process Management (BPM) Enterprise Content Management (ECM) และ …