El sistema que tiene Apple para poder compartir archivos y demás entre dispositivos Apple a través del Bluetooth y del WiFi, AirDrop, sigue teniendo un problema de seguridad. Afecta por lo que se sabe, a más de 1500 millones de dispositivos. No es un problema nuevo pero parece que no encuentran solución. La cuestión es que los correos electrónicos y números de teléfono de los usuarios están siendo expuestos.
AirDrop tiene una brecha de seguridad desde hace dos años pero no hay quién lo corrija
Investigadores alemanes de TU Darmstadt han descubierto un fallo de seguridad de AirDrop que podría autorizar a explotar la función de intercambio a corta distancia de Apple para permitir a terceros ajenos a ver números de teléfono y direcciones de correo electrónico. Eso sí, siempre y cuando ese tercero ajeno se encuentre dentro del rango WiFi donde estén registrados los dispositivos iOS o macOS.
El problema había sido parcialmente identificado en investigaciones anteriores, pero en ese caso sólo se revelaron números de teléfono parciales. Se requería una base de datos para rellenar los espacios en blanco. Sin embargo ahora se afirma que se pueden obtener los datos completos cada vez que alguien usa AirDrop, sin importar la opción que luego seleccionen.
Debido a esto, los investigadores afirman que el atacante puede conseguir ver los números de teléfono y direcciones de correo electrónico de los usuarios de AirDrop. Incluso aunque el mismo aparezca como un tercero ajeno.
Todo lo que requieren es un dispositivo compatible con WiFi y una proximidad física a un dispositivo. Éste debe haber iniciado el proceso de detección abriendo el panel de uso compartido en un dispositivo iOS o macOS.
Según los investigadores, Apple fue avisada del problema de seguridad en mayo de 2019. Sin embargo, aún no ha solucionado la vulnerabilidad. Eso deja más de 1.500 millones de dispositivos de Apple abiertos a compartir información privada sin conocimiento.
Los propios investigadores dicen que han construido una solución denominada “PrivateDrop“. Con ella se reemplaza el diseño original defectuoso de AirDrop. La alternativa de estos investigadores, se basa en protocolos de intersección de conjunto privado criptográfico optimizados que realizan de forma segura el proceso de detección de contactos entre dos usuarios sin intercambiar valores hash vulnerables.