TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยจาก Technical University of Darmstadt ในเยอรมัน ได้เปิดถึงช่องโหว่ใน Airdrop ที่สามารถใช้เพื่อขโมยข้อมูลเบอร์โทรศัพท์และอีเมลของเหยื่อได้
ไอเดียก็คือระหว่างขั้นตอนการค้นหา AirDrop ทาง Apple ใช้ฟังก์ชัน Hash (SHA-256) ปิดบังข้อมูลอีเมลและเบอร์มือถือเอาไว้ อย่างไรก็ดีจากข้อมูลของทาง Sophos ชี้ว่า Apple พลาดตรงที่ไม่ได้ทำ Salting ด้วยเหตุนี้เองคนร้ายจึงสามารถคำนวณหาค่า Hash ที่เป็นไปได้ (https://nakedsecurity.sophos.com/2021/04/23/apple-airdrop-has-significant-privacy-leak-say-german-researchers/) ทั้งนี้เพียงแค่คนร้ายอยู่ในระยะสัญญาณ Wi-Fi เดียวกับเหยื่อและเริ่มต้นการค้นหาด้วยการเปิด Sharing Panel ใน iOS หรือ macOS
นักวิจัยเผยว่าอันที่จริงพบปัญหานี้ตั้งแต่ปี 2019 แล้ว แต่ก็ไม่รู้ว่าทำไม Apple ยังมีช่องโหว่นี้อยู่ ซึ่งได้แนะนำให้ผู้ใช้ปิด AirDrop Discovery ใน System Setting เอาไว้ อีกมุมหนึ่งพวกเขาได้พัฒนาโปรโตคอลใหม่ที่ชื่อ ‘PrivateDrop’ ที่ช่วยแก้ปัญหาในขั้นตอนดังกล่าว และเตรียมนำไปนำเสนอในงาน USENIX Security Symposium ในเดือนสิงหาคมนี้
