Applen laitteissaan käyttämä AirDrop-tiedostonjakoprotokolla voi paljastaa käyttäjän sähköpostiosoitteen ja puhelinnumeron, kirjoittaa Tom’s Guide. Tieto perustuu saksalaisen tutkijaryhmän raporttiin.

Tietojen urkkimiseen AirDropin kautta tarvitaan tutkijoiden mukaan vain wifi-yhteydellä varustettu laite ja pääsy uhrin fyysiseen läheisyyteen. Hyökkäyksen voisi tehdä esimerkiksi läppärillä vilkkaalla paikalla istuen.

AirDrop yhdistää tiedostoja keskenään vaihtavat laitteet jakamalla käyttäjän Apple-tiliin kytketystä puhelinnumerosta tai sähköpostiosoitteesta johdetun salatun tiivisteen. Oletuksena AirDrop-yhteys muodostaa parin sellaisten laitteiden välille, joiden puhelinnumerot löytyvät molempien laitteiden yhteystiedoista. Tiedostoja jakava laite jakaa tiivisteen ja vastaanottaja tarkistaa, löytyykö tiivistettä vastaava numero yhteystiedoista. Mikäli pari löytyy, yhteys muodostuu. AirDropin voi myös säätää jakamaan tiivisteen näkymään kaikille laitteille.

Periaatteessa SHA-256-salausalgoritmiin perustuvista tiivisteistä ei pitäisi pystyä selvittämään alkuperäistä yhteystietoa. Ongelma on kuitenkin siinä, että puhelinnumerot ja sähköpostiosoitteet ovat muodoltaan melko ennustettavia, mikä helpottaa salauksen purkua.

Koska numerot ovat keskenään samanpituisia ja uhrin maakoodi usein tiedossa, pystyy tietokone helposti laskemaan kaikki mahdolliset puhelinnumeroiden tiivisteet. Sähköpostien selvittäminen tiivisteiden perusteella on hieman haastavampaa, mutta hommaa helpottavat yleiset päätteet kuten @gmail.com tai hyökkääjän kohdeyrityksen käyttämä osoiteformaatti.

Tietokoneen koostaman massiivisen tiivisteluettelon avulla hyökkääjä voisi saada selville ympärillä AirDrop-jakoja tekevien Apple-käyttäjien tiivisteitä ja selvittää niiden perusteella puhelinnumeroita ja sähköpostiosoitteita.

Käyttäjät voivat onneksi suojautua hyökkäykseltä helposti valitsemalla AirDrop-asetuksista kohdan ”vain lähetys”. Macilla AirDropin ”minut saa löytää” -asetus tulee kytkeä pois päältä. Näillä asetuksilla käyttäjä ei voi saada jakopyyntöjä muilta laitteilta.

Toistaiseksi ei ole tietoa, aikooko Apple tehdä asialle jotakin, vaikka yhtiö on ollut tietoinen AirDropin heikosta kohdasta jo kahden vuoden ajan. Tutkijat ovat kehittäneet ongelmaan vapaaseen lähdekoodiin pohjautuvan ratkaisun, jota on esitelty myös Applelle viime lokakuussa.