AirDropの脆弱性とは、見知らぬ人のWi-Fi圏内でiOSまたはmacOSの共有パネルを開くだけで、あなたの電話番号やメールアドレスが見られてしまう可能性があることを意味します。AirDropの転送を開始しなくても、危険にさらされる可能性があります。

この脆弱性を発見したセキュリティ研究者は、2019年5月にAppleにこの脆弱性を報告したが、同社はまだ影響を受ける15億台のデバイスに修正プログラムを提供していないという。

この問題は以前の研究でも部分的に特定されていましたが、その際には電話番号の一部しか明らかにならず、空欄を埋めるためにデータベースが必要でした。今回の最新論文では、共有シートを開くたびに、どのオプションを選択しても、完全なデータが入手できると述べられています。

ドイツのダルムシュタット工科大学の研究者たちは、この問題は2つの要因が組み合わさって生じていると述べています。まず、AirDropで「連絡先のみ」オプションを提供するために、Appleデバイスは通信範囲内にあるすべてのデバイスに個人データをサイレントに要求する必要があります。

機密データは通常、ユーザーが既に知っている人とのみ共有されるため、AirDrop ではデフォルトでアドレス帳の連絡先に登録されている受信デバイスのみが表示されます。相手が連絡先に登録されているかどうかを判断するために、AirDrop はユーザーの電話番号とメールアドレスを相手ユーザーのアドレス帳のエントリと比較する相互認証メカニズムを採用しています。

第二に、交換されるデータは暗号化されていますが、Apple は比較的弱いハッシュ メカニズムを使用しています。

ダルムシュタット工科大学のセキュア モバイル ネットワーキング ラボ (SEEMOO) と暗号化およびプライバシー エンジニアリング グループ (ENCRYPTO) の研究者チームがこのメカニズムを詳しく調査し、深刻なプライバシー漏洩を発見しました。

攻撃者は、AirDrop ユーザーの電話番号やメールアドレスを、たとえ全くの他人であっても入手することが可能です。必要なのは、Wi-Fi 対応デバイスと、iOS または macOS デバイスの共有パネルを開いて検出プロセスを開始するターゲットに物理的に近い距離にいることです。

発見された問題は、Appleが情報開示プロセスにおいて、交換された電話番号とメールアドレスを「難読化」するためにハッシュ関数を使用していることに起因しています。ダルムシュタット工科大学の研究者らは既に、いわゆるハッシュ値はブルートフォース攻撃などの単純な手法で容易に逆引きできるため、ハッシュ化ではプライバシーを保護しながら連絡先情報を発見することはできないことを明らかにしています。

チームは、PrivateDrop と名付けたはるかに安全なアプローチで AirDrop の欠陥を解決したと述べているが、プライバシーの問題と潜在的な解決策の両方について Apple に警告したにもかかわらず、Apple はまだそれを修正していない。

www.mofope.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。