Уразливість AirDrop дозволяє красти номери телефонів та адреси електронної пошти. Apple давно знає про проблему, але поки що не реагує.
З’явилася інформація про те, що в Apple AirDrop існує вразливість, яка зачіпає близько 1,5 мільярда пристроїв Apple. Раніше дослідники з Технічного університету Дармштадта опублікували в своєму блозі інформацію про уразливість технології передачі даних AirDrop, яка була розроблена компанією Apple і вперше представлена в операційних системах OS X Lion і iOS 7.
Уразливість пов’язана з тим, що AirDrop використовує механізм взаємної аутентифікації для порівняння номера телефону та електронної пошти користувача з записами в адресній книзі пристрою, з яким він обмінюється даними. Дослідники виявили, що зловмисники можуть отримати ці дані, маючи пристрій з підтримкою Wi-Fi і перебуваючи близько до пристрою, що ініціює процес виявлення, відкриваючи панель обміну файлами на пристрої з iOS або macOS. Уразливість викликана способом хешування номера телефону та адреси електронної пошти під час аутентифікації.
Більш 1,5 млрд пристроїв Apple в небезпеці. Уразливість AirDrop дозволяє красти номери телефонів та адреси електронної пошти
Дослідники відзначають, що вперше звернули увагу на цю проблему ще в 2019 році і відразу ж проінформували про це Apple. Однак каліфорнійський технічний гігант досі не вжив жодних дій для усунення вразливості.
Користувачам, які побоюються витоку даних, дослідники рекомендують повністю відключити AirDrop.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ
Онлайн-шопінг у соцмережах: як не бути ошуканим?
Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ
Як правильно вибрати ноутбук? ПОРАДИ
Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ
Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.
Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).
Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.
Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.