Apple Airdrop

iPhone, AirDrop potrebbe mettere a rischio il vostro numero di telefono

Gli hash parziali trasmessi via Bluetooth possono essere potenzialmente decriptati, svelando i numeri di telefono degli utenti
iPhone, AirDrop potrebbe mettere a rischio il vostro numero di telefono FASTWEB S.p.A.

Apple semplifica l'individuazione di iPhone persi, la condivisione di password Wi-Fi e l'utilizzo di AirDrop per inviare file ad altri dispositivi vicini. Ma un rapporto pubblicato di recente dimostra come alcuni hacker possano sfruttare queste funzionalità per raccogliere una vasta gamma di dati potenzialmente sensibili, che in alcuni casi includono anche i numeri di telefono degli utenti.

La semplice attivazione del Bluetooth trasmette infatti, una serie di dettagli del dispositivo, incluso il nome, se è in uso, se il Wi-Fi è attivo, la versione del sistema operativo è in esecuzione e le informazioni sulla batteria. Ma cosa ancor più preoccupante: l'uso della condivisione password AirDrop o Wi-Fi trasmette un hash crittografato parziale che può essere facilmente convertito nel numero di telefono completo di un iPhone. Le informazioni, che nel caso di un Mac includono anche un indirizzo MAC statico che può essere utilizzato come identificativo univoco, vengono inviate in pacchetti Bluetooth Low Energy.

Le informazioni divulgate potrebbero non essere un grosso problema in molti contesti, come luoghi di lavoro in cui tutti conoscono tutti comunque. L'esposizione può però essere più inquietante in luoghi pubblici, come una metropolitana, un bar o un grande magazzino, dove chiunque abbia hardware a basso costo e un po' di conoscenza informatica, può raccogliere i dettagli di tutti i dispositivi Apple che hanno attivato il BLE (bluetooth low energy). I dati potrebbero anche essere un vantaggio per le aziende che monitorano i clienti mentre si spostano attraverso i punti vendita.

Quando si usa AirDrop per condividere un file o un'immagine, di fatto si trasmette un hash SHA256 parziale del proprio numero di telefono. Nel caso in cui sia in uso la condivisione della password Wi-Fi, il dispositivo invia un hash SHA256 parziale del proprio numero di telefono, dell'indirizzo e-mail dell'utente e dell'ID Apple dell'utente. E sebbene vengano trasmessi solo i primi tre byte dell'hash, i ricercatori della società di sicurezza Hexway (che ha pubblicato la ricerca) affermano che quei byte forniscono informazioni sufficienti per recuperare l'intero numero di telefono.

Il rapporto di Hexway include un software che dimostra la trasmissione di informazioni. Rob Graham, CEO di Errata Security, ha installato questo software su un laptop dotato di un dongle sniffer di pacchetti wireless e in un minuto o due ha acquisito i dettagli di oltre una dozzina di iPhone e Apple Watch che erano alla portata della radio bar dove lavorava.

"È abbastanza inquietante che le persone possano mettere a disposizione così facilmente le informazioni sullo stato e sul numero di telefono ad altri", ha detto. "Non è probabile", ha aggiunto, "che Apple possa impedire la perdita di numeri di telefono e altre informazioni, dal momento che sono necessarie, in qualche modo, comunque, affinché i dispositivi possano connettersi senza problemi con altri dispositivi di cui un utente si fida".

Gli indirizzi MAC mostrati nel video non sono i numeri effettivi del dispositivo, ma indirizzi MAC temporanei che ruotano regolarmente. Ma Graham ha affermato che, diversamente dagli indirizzi di iPhone e Apple Watch, gli indirizzi MAC per computer Macintosh non vengono offuscati in questo modo. Trasmettendo solo hash parziali di numeri di telefono, indirizzi e-mail e AppleID, Apple sta chiaramente facendo uno sforzo per rendere difficile la raccolta dei dati. Ma la realtà è che risulta spesso banale corrompere quegli hash.

"Questo è il classico compromesso che aziende come la Apple cercano di fare nel bilanciare la facilità d'uso rispetto alla privacy / sicurezza", ha detto ad ArsTechnica il ricercatore indipendente di privacy e sicurezza Ashkan Soltani. "In generale, i protocolli di individuazione automatica spesso richiedono lo scambio di informazioni personali per farli funzionare - e come tali - possono rivelare cose che potrebbero essere considerate sensibili. La maggior parte delle persone attente alla sicurezza e alla privacy che conosco disabilitano i protocolli di rilevamento automatico come AirDrop, ecc. per principio."

2 agosto 2019

Fonte: arstechnica.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail