AirDrop es una de las funciones más importantes que tienen los productos de Apple y millones de usuarios la utilizan a diario para enviar archivos de forma inalámbrica, así como también de forma muy veloz. Pero ahora un equipo de investigadores ha encontrado una falla en AirDrop que podría afectar la seguridad de por lo menos 1,500 millones de dispositivos Apple a nivel mundial.
¿Qué es AirDrop?
AirDrop es una de las funciones más importantes de los productos de la firma de la manzana; AirDrop permite que los usuarios envíen fotos, videos, enlaces, documentos y más directamente y de forma inalámbrica entre los dispositivos de Apple.
Estas características convierten a AirDrop en una herramienta increíble para que los usuarios de productos Apple puedan compartir grandes cantidades de archivos (fotos, videos, entre otros) en muy poco tiempo.
Una gran falla
Según un grupo de investigadores de la Universidad Tecnológica de Darmstadt (Alemania), AirDrop presenta una gran falla:
Como los datos confidenciales generalmente se comparten exclusivamente con personas que los usuarios ya conocen, AirDrop solo muestra los dispositivos receptores de los contactos de la libreta de direcciones de forma predeterminada. Para determinar si la otra parte es un contacto, AirDrop utiliza un mecanismo de autenticación mutua que compara el número de teléfono y la dirección de correo electrónico de un usuario con las entradas en la libreta de direcciones del otro usuario.
Como atacante, es posible conocer los números de teléfono y las direcciones de correo electrónico de los usuarios de AirDrop, incluso como un completo extraño. Todo lo que requieren es un dispositivo con capacidad Wi-Fi y proximidad física a un objetivo que inicia el proceso de descubrimiento abriendo el panel de uso compartido en un dispositivo iOS o macOS.
El reporte de los investigadores detalla el motivo exacto de la falla en AirDrop:
Los problemas descubiertos tienen su origen en el uso de funciones hash por parte de Apple para «ofuscar» los números de teléfono y las direcciones de correo electrónico intercambiados durante el proceso de descubrimiento. Nuestros estudios ya demostraron que el hash no proporciona un descubrimiento de contactos que preserve la privacidad, ya que los llamados valores hash pueden revertirse rápidamente utilizando técnicas simples como los ataques de fuerza bruta.
Posible solución
El equipo de investigación también desarrolló una solución llamada «PrivateDrop» para reemplazar el defectuoso diseño original de AirDrop:
PrivateDrop se basa en protocolos de intersección de conjuntos privados criptográficos optimizados que pueden realizar de forma segura el proceso de descubrimiento de contactos entre dos usuarios sin intercambiar valores hash vulnerables. La implementación de iOS / macOS de los investigadores de PrivateDrop muestra que es lo suficientemente eficiente como para preservar la experiencia de usuario ejemplar de AirDrop con un retraso de autenticación muy por debajo de un segundo.
Por ahora Apple no se ha pronunciado respecto a esta falla en AirDrop y el reporte de los investigadores de la Universidad Tecnológica de Darmstadt indica que los datos de por lo menos 1,500 millones de dispositivos Apple podrían verse comprometidos.
¡Únete a nuestro grupo exclusivo en Telegram!
