Fastweb

iPhone, AirDrop potrebbe mettere a rischio il vostro numero di telefono

iphone 11 Smartphone & Gadget #iphone 11 #iphone 11 pro iPhone 11 ufficiali, caratteristiche, prezzo e data di uscita in Italia Apple ha presentato tre nuovi smartphone: iPhone 11, modello lowcost, iPhone 11 Pro e iPhone 11 Pro Max. Ecco le caratteristiche
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
iPhone, AirDrop potrebbe mettere a rischio il vostro numero di telefono FASTWEB S.p.A.
Apple Airdrop
Smartphone & Gadget
Gli hash parziali trasmessi via Bluetooth possono essere potenzialmente decriptati, svelando i numeri di telefono degli utenti

Apple semplifica l'individuazione di iPhone persi, la condivisione di password Wi-Fi e l'utilizzo di AirDrop per inviare file ad altri dispositivi vicini. Ma un rapporto pubblicato di recente dimostra come alcuni hacker possano sfruttare queste funzionalità per raccogliere una vasta gamma di dati potenzialmente sensibili, che in alcuni casi includono anche i numeri di telefono degli utenti.

La semplice attivazione del Bluetooth trasmette infatti, una serie di dettagli del dispositivo, incluso il nome, se è in uso, se il Wi-Fi è attivo, la versione del sistema operativo è in esecuzione e le informazioni sulla batteria. Ma cosa ancor più preoccupante: l'uso della condivisione password AirDrop o Wi-Fi trasmette un hash crittografato parziale che può essere facilmente convertito nel numero di telefono completo di un iPhone. Le informazioni, che nel caso di un Mac includono anche un indirizzo MAC statico che può essere utilizzato come identificativo univoco, vengono inviate in pacchetti Bluetooth Low Energy.

Le informazioni divulgate potrebbero non essere un grosso problema in molti contesti, come luoghi di lavoro in cui tutti conoscono tutti comunque. L'esposizione può però essere più inquietante in luoghi pubblici, come una metropolitana, un bar o un grande magazzino, dove chiunque abbia hardware a basso costo e un po' di conoscenza informatica, può raccogliere i dettagli di tutti i dispositivi Apple che hanno attivato il BLE (bluetooth low energy). I dati potrebbero anche essere un vantaggio per le aziende che monitorano i clienti mentre si spostano attraverso i punti vendita.

Quando si usa AirDrop per condividere un file o un'immagine, di fatto si trasmette un hash SHA256 parziale del proprio numero di telefono. Nel caso in cui sia in uso la condivisione della password Wi-Fi, il dispositivo invia un hash SHA256 parziale del proprio numero di telefono, dell'indirizzo e-mail dell'utente e dell'ID Apple dell'utente. E sebbene vengano trasmessi solo i primi tre byte dell'hash, i ricercatori della società di sicurezza Hexway (che ha pubblicato la ricerca) affermano che quei byte forniscono informazioni sufficienti per recuperare l'intero numero di telefono.

Il rapporto di Hexway include un software che dimostra la trasmissione di informazioni. Rob Graham, CEO di Errata Security, ha installato questo software su un laptop dotato di un dongle sniffer di pacchetti wireless e in un minuto o due ha acquisito i dettagli di oltre una dozzina di iPhone e Apple Watch che erano alla portata della radio bar dove lavorava.

"È abbastanza inquietante che le persone possano mettere a disposizione così facilmente le informazioni sullo stato e sul numero di telefono ad altri", ha detto. "Non è probabile", ha aggiunto, "che Apple possa impedire la perdita di numeri di telefono e altre informazioni, dal momento che sono necessarie, in qualche modo, comunque, affinché i dispositivi possano connettersi senza problemi con altri dispositivi di cui un utente si fida".

Gli indirizzi MAC mostrati nel video non sono i numeri effettivi del dispositivo, ma indirizzi MAC temporanei che ruotano regolarmente. Ma Graham ha affermato che, diversamente dagli indirizzi di iPhone e Apple Watch, gli indirizzi MAC per computer Macintosh non vengono offuscati in questo modo. Trasmettendo solo hash parziali di numeri di telefono, indirizzi e-mail e AppleID, Apple sta chiaramente facendo uno sforzo per rendere difficile la raccolta dei dati. Ma la realtà è che risulta spesso banale corrompere quegli hash.

"Questo è il classico compromesso che aziende come la Apple cercano di fare nel bilanciare la facilità d'uso rispetto alla privacy / sicurezza", ha detto ad ArsTechnica il ricercatore indipendente di privacy e sicurezza Ashkan Soltani. "In generale, i protocolli di individuazione automatica spesso richiedono lo scambio di informazioni personali per farli funzionare - e come tali - possono rivelare cose che potrebbero essere considerate sensibili. La maggior parte delle persone attente alla sicurezza e alla privacy che conosco disabilitano i protocolli di rilevamento automatico come AirDrop, ecc. per principio."

2 agosto 2019

Fonte: arstechnica.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #apple #wi-fi #bluetooth

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.