image

Onderzoekers melden privacylek in Apple AirDrop en ontwikkelen alternatief

woensdag 21 april 2021, 17:31 door Redactie, 4 reacties

Onderzoekers van de TU Darmstadt stellen dat er een "groot privacylek" in Apple AirDrop aanwezig is en hebben een alternatief ontwikkeld dat gebruikers in staat moet stellen om bestanden op een privacyvriendelijke manier uit te wisselen (pdf).

AirDrop werkt via Apple Wireless Direct Link (AWDL) in combinatie met Bluetooth Low Energy (BLE) en maakt het mogelijk om bestanden tussen Apple-apparaten uit te wisselen. Standaard kan een gebruiker alleen een bestand versturen als de ontvanger in zijn adresboek voorkomt en hij in het adresboek van de beoogde ontvanger staat. Om te bepalen of de andere partij inderdaad een contact is maakt AirDrop gebruik van een authenticatiemechanisme waarbij het telefoonnummer en e-mailadres van de gebruiker wordt vergeleken met contacten in het adresboek van de andere partij.

Volgens de onderzoekers bevat dit mechanisme een privacylek waardoor een aanvaller de telefoonnummers en e-mailadressen van AirDrop-gebruikers kan achterhalen. Hiervoor moet een aanvaller wel in de buurt van het slachtoffer zijn en over een apparaat met wifi beschikken. Tevens moet het doelwit het venster openen om via AirDrop bestanden te delen. Zodra dit venster namelijk wordt geopend wordt er een BLE advertisement verstuurd dat de hash van elk contact bevat.

Volgens de onderzoekers wordt het probleem veroorzaakt door de hashfuncties die Apple gebruikt voor het obfusceren van de telefoonnummers en e-mailadressen van gebruikers. Die zijn kwetsbaar voor bruteforce-aanvallen, waardoor een aanvaller het bijbehorende e-mailadres of telefoonnummer kan achterhalen, zo claimen de onderzoekers. Die stellen dat ze Apple in mei 2019 hebben gewaarschuwd, maar Apple het probleem niet heeft bevestigd of heeft aangegeven dat het aan een oplossing werkt.

De onderzoekers ontwikkelden een eigen alternatief voor AirDrop genaamd PrivateDrop, dat beschikbaar is op GitHub. Deze oplossing zou wel op een veilige manier het 'contact discovery' proces tussen twee gebruikers kunnen uitvoeren zonder de kwetsbare hashwaardes uit te wisselen. Tijdens het USENIX Security Symposium in augustus van dit jaar zullen de onderzoekers hun bevindingen presenteren.

Image

Reacties (4)
21-04-2021, 17:52 door Anoniem
Ik heb wel Apple, maar Airdrop heb ik nooit gebruikt.
Bedankt voor de waarschuwing redactie!
22-04-2021, 01:03 door Anoniem
Tevens moet het doelwit het venster openen om via AirDrop bestanden te delen.

Dit is toch geen groot lek?

Waarom classificeert men dit lek als groot, terwijl er miljoenen persoonlijke gegevens van LinkedIn, FaceBook, of ander social media gewoon gedumpt wordt op internet?
22-04-2021, 10:11 door Anoniem
Ik denk dat er toch te weinig en te lage boetes worden gegeven dat er door die bedrijven met miljarden in cash zo slecht ontwikkelen
23-04-2021, 10:24 door Anoniem
Hilarisch. Een niet bestaand probleem als een groot probleem bestempelen om een eigen product aan de man te brengen. Mijn vraag is altijd; Wanneer is dit probleem er in de echte mensen wereld? Ik gebruik AirDrop regelmatig, maar niet meer dan een keer of drie in de week. Daarbij moet ik het dan ook nog gebruiken met iemand dicht in de buurt, die kwaadwillend is, maar ook nog eens kennis heeft van het feit dat ik AirDrop ga gebruiken. Kortom, een non-issue.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.