एप्पल के एयरड्रॉप तकनीक उपयोगकर्ताओं के फोन नंबर और ईमेल पते लीक कर सकते हैं, शोधकर्ताओं के अनुसार, जिन्होंने पहली बार 2019 में ऐप्पल की भेद्यता की जानकारी दी थी। एयरड्रॉप एप्पल के स्वामित्व वाली वायरलेस तकनीक है जिसका उपयोग आईओएस के लिए फ़ोटो और वीडियो वायरलेस जैसी फ़ाइलों को साझा करने के लिए किया जाता है। , iPadOS, और macOS उपकरणों को 2011 में पेश किया गया था। यह वायरलेस कनेक्शन स्थापित करने और फ़ाइलों का आदान-प्रदान करने के लिए वाई-फाई और ब्लूटूथ दोनों का उपयोग करता है। हालांकि, AirDrop द्वारा उपयोग किए जाने वाले पारस्परिक प्रमाणीकरण तंत्र का उपयोग किसी उपयोगकर्ता के फोन नंबर और ईमेल पते को चोरी करने के लिए किया जा सकता है।
जर्मनी की टेक्निकल यूनिवर्सिटी ऑफ डार्मस्टाट के शोधकर्ताओं ने वह भेद्यता पाई है जो किसी पर भी असर डाल सकती है सेब जो उपयोगकर्ता फ़ाइलों का उपयोग करके साझा करते हैं एयरड्रॉप। शोधकर्ताओं ने पाया कि खोज प्रक्रिया के दौरान फोन नंबर और ईमेल पते का आदान-प्रदान करने वाले हैश कार्यों के उपयोग के भीतर समस्या मौजूद है।
यद्यपि यह काफी विषय में है, लेकिन उपयोगकर्ता केवल विशिष्ट परिस्थितियों में ही प्रभावित होते हैं। एक बात के लिए, किसी ने भी, जो सभी को अपनी सेटिंग प्राप्त कर चुका है, जोखिम में है। शोधकर्ताओं के अनुसार, इसके अलावा, भले ही आपकी सेटिंग ऑफ या कॉन्टेक्ट्स पर सेट हो, अगर आपके पास एयरड्रॉप (जहां आपका डिवाइस कनेक्ट करने के लिए अन्य डिवाइस की तलाश में है) के साथ आपकी शेयर शीट खुली है, तो जोखिम है।
Apple AirDrop तक पहुँचने वाले उपयोगकर्ता के फोन नंबर और ईमेल पते को एन्क्रिप्ट करने के लिए SHA-256 हैश फ़ंक्शन उपन्यास का उपयोग करता है। यद्यपि हैश को नौसिखिए द्वारा क्लीयरटेक्स्ट में नहीं बदला जा सकता है, शोधकर्ताओं ने पाया कि एक हमलावर जिसके पास वाई-फाई-सक्षम डिवाइस है और भौतिक निकटता में है, एन्क्रिप्शन को डिक्रिप्ट करने के लिए एक प्रक्रिया शुरू कर सकता है।
शोधकर्ताओं के समूह में विश्वविद्यालय के सुरक्षित मोबाइल नेटवर्किंग (SEEMOO) प्रयोगशाला और क्रिप्टोग्राफी और गोपनीयता इंजीनियरिंग समूह (ENCRYPTO) के पांच विशेषज्ञ शामिल हैं कागज़।
कागज में दिए गए विवरण के अनुसार, दोषों का फायदा उठाने के दो विशिष्ट तरीके हैं। हमलावर, एक मामले में, उपयोगकर्ता के विवरण तक पहुंच प्राप्त करने के बाद और निकटता में शेयर शीट या शेयर मेनू खोल सकते हैं। आई – फ़ोन, ipad, या Mac। हालांकि, दूसरे मामले में, हमलावर अपने उपकरणों पर एक शेयर शीट या शेयर मेनू खोल सकता है और फिर एक प्रतिक्रिया देने वाले रिसीवर के साथ पारस्परिक प्रमाणीकरण करने के लिए पास के डिवाइस की तलाश कर सकता है।
दूसरा मामला केवल तभी मान्य होगा जब उपयोगकर्ता ने AirDrop पर प्रत्येक व्यक्ति को अपने उपकरणों की खोज निर्धारित की हो। यह पहले मामले की तरह व्यापक नहीं है, जहां कोई व्यक्ति जो Apple डिवाइस पर फ़ाइल साझा करने का प्रयास कर रहा है, उस पर हमला किया जा सकता है।
खामियों का विस्तार करने के अलावा, शोधकर्ताओं ने “प्राइवेटड्रॉप” नामक एक समाधान विकसित किया है जो क्रिप्टोग्राफिक निजी सेट चौराहे प्रोटोकॉल का उपयोग करता है जो कमजोर हैश मानों का आदान-प्रदान किए बिना दो उपयोगकर्ताओं के बीच साझा करने की प्रक्रिया करता है।
शोधकर्ताओं ने यह भी कहा कि बयान हालांकि उन्होंने मई 2019 में Apple को AirDrop दोष के बारे में निजी तौर पर सूचित किया, हालांकि कंपनी ने इस मुद्दे को स्वीकार नहीं किया और वापस जवाब दिया।
AirDrop 1.5 बिलियन से अधिक Apple उपकरणों पर एक प्रीलोडेड सेवा के रूप में मौजूद है जो शोधकर्ताओं द्वारा खोजे गए दोष के कारण सभी कथित रूप से कमजोर खड़े हैं। Apple ने इस टिप्पणी पर प्रतिक्रिया नहीं दी कि क्या यह कहानी को दर्ज करने के समय समस्या को ठीक कर रहा है।
यह विशेष रूप से पहली बार नहीं है जब एयरड्रॉप में सुरक्षा मुद्दा पाया गया है। अगस्त 2019 में सेवा थी एक समस्या है देखा जो हमलावरों को फोन की स्थिति, बैटरी की जानकारी, वाई-फाई स्थिति, बफर उपलब्धता और ओएस संस्करण के बारे में जानकारी प्राप्त करने की अनुमति दे सकता है। उस समय, AirDrop को फोन नंबर के आंशिक SHA256 हैश भेजने के लिए भी दिखाया गया था, ऐप्पल आईडी, और ईमेल पते। कंपनी ने उस खोज का भी जवाब नहीं दिया।
यह कहा गया है, जब तक कि मुद्दों को आधिकारिक सुधार नहीं मिलते हैं, तब तक Apple उपयोगकर्ता AirDrop के माध्यम से हमलावर द्वारा पकड़े जाने से बच सकते हैं इसे बंद करना जब वे सुविधा का उपयोग नहीं कर रहे हैं।
।
