ผู้เชี่ยวชาญเผยช่องโหว่บน Apple Airdrop สามารถใช้ขโมยข้อมูลได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Technical University of Darmstadt ในเยอรมัน ได้เปิดถึงช่องโหว่ใน Airdrop ที่สามารถใช้เพื่อขโมยข้อมูลเบอร์โทรศัพท์และอีเมลของเหยื่อได้

ไอเดียก็คือระหว่างขั้นตอนการค้นหา AirDrop ทาง Apple ใช้ฟังก์ชัน Hash (SHA-256) ปิดบังข้อมูลอีเมลและเบอร์มือถือเอาไว้ อย่างไรก็ดีจากข้อมูลของทาง Sophos ชี้ว่า Apple พลาดตรงที่ไม่ได้ทำ Salting ด้วยเหตุนี้เองคนร้ายจึงสามารถคำนวณหาค่า Hash ที่เป็นไปได้ (https://nakedsecurity.sophos.com/2021/04/23/apple-airdrop-has-significant-privacy-leak-say-german-researchers/) ทั้งนี้เพียงแค่คนร้ายอยู่ในระยะสัญญาณ Wi-Fi เดียวกับเหยื่อและเริ่มต้นการค้นหาด้วยการเปิด Sharing Panel ใน iOS หรือ macOS

นักวิจัยเผยว่าอันที่จริงพบปัญหานี้ตั้งแต่ปี 2019 แล้ว แต่ก็ไม่รู้ว่าทำไม Apple ยังมีช่องโหว่นี้อยู่ ซึ่งได้แนะนำให้ผู้ใช้ปิด AirDrop Discovery ใน System Setting เอาไว้ อีกมุมหนึ่งพวกเขาได้พัฒนาโปรโตคอลใหม่ที่ชื่อ ‘PrivateDrop’ ที่ช่วยแก้ปัญหาในขั้นตอนดังกล่าว และเตรียมนำไปนำเสนอในงาน USENIX Security Symposium ในเดือนสิงหาคมนี้

ที่มา : https://siliconangle.com/2021/04/25/security-issues-apple-airdrop-allow-attackers-steal-personal-information/