Onderzoekers melden privacylek in Apple AirDrop en ontwikkelen alternatief
Onderzoekers van de TU Darmstadt stellen dat er een "groot privacylek" in Apple AirDrop aanwezig is en hebben een alternatief ontwikkeld dat gebruikers in staat moet stellen om bestanden op een privacyvriendelijke manier uit te wisselen (pdf).
AirDrop werkt via Apple Wireless Direct Link (AWDL) in combinatie met Bluetooth Low Energy (BLE) en maakt het mogelijk om bestanden tussen Apple-apparaten uit te wisselen. Standaard kan een gebruiker alleen een bestand versturen als de ontvanger in zijn adresboek voorkomt en hij in het adresboek van de beoogde ontvanger staat. Om te bepalen of de andere partij inderdaad een contact is maakt AirDrop gebruik van een authenticatiemechanisme waarbij het telefoonnummer en e-mailadres van de gebruiker wordt vergeleken met contacten in het adresboek van de andere partij.
Volgens de onderzoekers bevat dit mechanisme een privacylek waardoor een aanvaller de telefoonnummers en e-mailadressen van AirDrop-gebruikers kan achterhalen. Hiervoor moet een aanvaller wel in de buurt van het slachtoffer zijn en over een apparaat met wifi beschikken. Tevens moet het doelwit het venster openen om via AirDrop bestanden te delen. Zodra dit venster namelijk wordt geopend wordt er een BLE advertisement verstuurd dat de hash van elk contact bevat.
Volgens de onderzoekers wordt het probleem veroorzaakt door de hashfuncties die Apple gebruikt voor het obfusceren van de telefoonnummers en e-mailadressen van gebruikers. Die zijn kwetsbaar voor bruteforce-aanvallen, waardoor een aanvaller het bijbehorende e-mailadres of telefoonnummer kan achterhalen, zo claimen de onderzoekers. Die stellen dat ze Apple in mei 2019 hebben gewaarschuwd, maar Apple het probleem niet heeft bevestigd of heeft aangegeven dat het aan een oplossing werkt.
De onderzoekers ontwikkelden een eigen alternatief voor AirDrop genaamd PrivateDrop, dat beschikbaar is op GitHub. Deze oplossing zou wel op een veilige manier het 'contact discovery' proces tussen twee gebruikers kunnen uitvoeren zonder de kwetsbare hashwaardes uit te wisselen. Tijdens het USENIX Security Symposium in augustus van dit jaar zullen de onderzoekers hun bevindingen presenteren.
Bedankt voor de waarschuwing redactie!
Dit is toch geen groot lek?
Waarom classificeert men dit lek als groot, terwijl er miljoenen persoonlijke gegevens van LinkedIn, FaceBook, of ander social media gewoon gedumpt wordt op internet?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.