A Apple tem ferramentas únicas dentro do seu ecossistema. Estas permitem transmitir dados e ficheiros de forma automática e sem qualquer configuração especial ou adicional.
O AirDrop é um desses exemplos. Este serviço permite enviar ficheiros entre máquinas com um simples drag & drop. Apesar desta simplicidade, este tem agora uma falha crítica, que permite ao atacante saber o número de telefone de qualquer iPhone.
O AirDrop garante aos utilizadores uma forma simples de partilha de ficheiros dentro do ecossistema Apple. Este serviço garante também uma forma rápida de ligação entre estes mesmos utilizadores.
O AirDrop tem uma falha de segurança
Só precisam de dois equipamentos Apple e automaticamente se associam para que se forme uma pequena rede privada. Um novo problema descoberto agora vem deitar por terra a qualidade deste serviço. Graças a uma falha na implementação, qualquer atacante mal-intencionado consegue descobrir o número de telefone dos intervenientes.
Segundo o que foi descrito pela empresa Hexway, rapidamente e com um simples script, estes dados são recolhidos. O problema está na implementação do protocolo Apple Wireless Direct Link e na cifra que é usada. Esta permite que sejam descobertos 3 dígitos dos números de telefone, o que torna simples descobrir o resto do número.
Os dados do iPhone estão disponíveis aos atacantes
O problema é ainda maior quando a partilha é feita com os dados das redes Wi-Fi. Também aqui os dados podem ser descobertos, revelando ainda mais informação sensível do utilizador.
Apesar desta situação, este é um problema natural do AWDL. A Apple não poderá limitar a sua utilização e nem corrigir esta suposta falha. Apenas poderá certamente dificultar a exploração destas falhas nos utilizadores.
Falha grave, mas sem impacto direto nos utilizadores Apple
Todos os utilizadores que se sintam ameaçados com esta falha, a única alternativa que têm é eventualmente desligar esta partilha. De qualquer modo, esta falha não representa qualquer problema maior aos utilizadores. É uma falha real, mas que não tem impacto direto nos utilizadores.