Mercado fechará em 59 mins
  • BOVESPA

    119.299,57
    -264,87 (-0,22%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.937,60
    +537,80 (+1,11%)
     
  • PETROLEO CRU

    64,78
    -0,85 (-1,30%)
     
  • OURO

    1.814,90
    +30,60 (+1,71%)
     
  • BTC-USD

    55.807,71
    -1.508,97 (-2,63%)
     
  • CMC Crypto 200

    1.449,09
    -22,33 (-1,52%)
     
  • S&P500

    4.174,59
    +7,00 (+0,17%)
     
  • DOW JONES

    34.373,27
    +142,93 (+0,42%)
     
  • FTSE

    7.076,17
    +36,87 (+0,52%)
     
  • HANG SENG

    28.637,46
    +219,46 (+0,77%)
     
  • NIKKEI

    29.331,37
    +518,77 (+1,80%)
     
  • NASDAQ

    13.485,00
    -6,00 (-0,04%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,3638
    -0,0631 (-0,98%)
     

Falha no AirDrop vaza endereços de e-mail e telefones dos usuários

Rafael Rigues
·2 minuto de leitura
Falha no AirDrop vaza endereços de e-mail e telefones dos usuários
Falha no AirDrop vaza endereços de e-mail e telefones dos usuários

O AirDrop é um recurso de segurança encontrado em Macs, iPads e iPhones que permite que usuários transfiram arquivos entre dois computadores de forma fácil. Um arquivo pode ser compartilhado com qualquer pessoa com um aparelho compatível nas proximidades, ou só com pessoas que estejam na lista de contatos do remetente.

E é exatamente nesta segunda opção que está uma falha do protocolo que expõe dados pessoais dos usuários. E não é necessário ser um hacker experiente ou mesmo usar ferramentas complexas para explorá-la.

A vulnerabilidade foi detalhada por pesquisadores da Universidade Técnica de Darmstadt, na Alemanha. Segundo eles, quando um usuário abre o painel de compartilhamento do AirDrop (Share Sheet) seu dispositivo “anuncia” via Bluetooth a intenção de transferir um arquivo, e inclui neste anúncio o endereço de e-mail e telefone do remetente em forma criptografada, usando o algoritmo SHA-256.

Leia mais:

Um malfeitor pode monitorar aparelhos na vizinhança e interceptar este anúncio. De posse do pacote de dados, um simples ataque de força-bruta pode ser usado para quebrar a criptografia e expor os dados de quem deseja enviar um arquivo.

Tudo o que um hacker mal-intencionado teria de fazer para conseguir dados de potenciais vítimas seria se sentar em um café ou outro local movimentado e esperar alguém abrir o painel de compartilhamento. Os dados obtidos poderiam ser usados posteriormente em campanhas de phishing, numa tentativa de obter mais informações da vítima.

“Esta é uma descoberta importante, pois permite que os invasores obtenham informações pessoais de usuários da Apple que, em etapas posteriores, podem ser utilizadas para ataques de phishing, golpes, etc. ou simplesmente serem vendidos”, disse Christian Weinert, um dos pesquisadores na Universidade Técnica de Darmstadt, na Alemanha, que encontrou as vulnerabilidades.

Exemplo de transferência via AirDrop em um iPhone. Imagem: Apple
Exemplo de transferência via AirDrop em um iPhone. Imagem: Apple

Os pesquisadores dizem que notificaram a Apple sobre suas descobertas em maio de 2019. Um ano e meio depois, eles apresentaram à Apple o “PrivateDrop“, um AirDrop reformulado que desenvolveram que usa uma técnica criptográfica que permite que duas partes realizem o processo de descoberta sem revelar dados vulneráveis. A implementação do PrivateDrop está publicamente disponível no GitHub.

“Nossa implementação do protótipo do PrivateDrop no iOS / macOS mostra que nossa abordagem de autenticação mútua amigável à privacidade é eficiente o suficiente para preservar a exemplar experiência de usuário do AirDrop com um atraso de autenticação bem abaixo de um segundo”, escreveram os pesquisadores em um post resumindo seu trabalho.

Apple não indicou se tem planos de adotar o PrivateDrop ou empregar alguma outra forma de consertar a falha.

Fonte: Ars Technica