Apple AirDrop Özelliğinde Gizlilik İlkesini Tehlikeye Atan Hatalı Yapılandırmalar Tespit Edildi

Apple AirDrop için “Practical Privacy-Preserving Authentication” adlı bir makale yayınlanmıştır (Link). Yayınlanan makalede, Apple AirDrop protokülünün gizlilik ilkesini ihlal edecek bir zafiyete sahip olduğu açıklanmıştır. Söz konusu zafiyetler, siber tehdit aktörlerinin AirDrop kullanıcılarının telefon numaralarını ve e-posta adreslerini ifşa etmesine imkan vermektedir. Bu zafiyetten yararlanmak için, Wi-Fi özellikli bir cihaz ve iOS/macOS cihazda paylaşımı açarak keşif sürecini başlatan hedef kullanıcılara fiziksel yakınlık gerekmektedir.

AirDrop, Iphone/Mac kullanıcıları olmayan kişilerin dosyaları doğrudan ancak kablosuz olarak yakındaki diğer Apple kullanıcılarıyla paylaşmasına izin veren kullanışlı Apple protokolüdür. AirDrop; hızlı, basit, yerel kablosuz paylaşım gerçekleştirebilmek için Bluetooth ve Wi-Fi kombinasyonunu kullanarak her iki kullanıcı çevrimdışı iken bile çalışabilmektedir.

AirDrop zafiyetinin iki sorunun birleşimi olduğunu açıklamıştır. İlk olarak, AirDrop “Yalnızca Kişiler” seçeneğini sunmak için, Apple aygıtlarının kapsama alanındaki tüm aygıtlardan sessizce kişisel veri istemesi gerekmektedir. Bunun sebebi hassas veriler genellikle kullanıcıların zaten tanıdığı kişilerle paylaşıldığından, AirDrop varsayılan olarak yalnızca adres defterinde bulunan kişilerin cihazlarını göstermektedir. Diğer tarafın kişilerde olup olmadığını belirlemek için, bir kullanıcının telefon numarasını ve e-posta adresini diğer kullanıcının adres defterindeki girişlerle karşılaştıran karşılıklı bir kimlik doğrulama mekanizması kullanılmaktadır. Diğer bir sorun olarak, bu kimlik doğrulama mekanizmasında kullanılan şifreleme algoritmalarının “zayıf” nitelendirilmesi olmuştur.

Bu güvenlik zafiyetlerine karşı; Apple kullanıcılarının, kullanılmadığı takdirde AirDrop’u kapatmaları, gerekmediği takdirde “Herkes” paylaşım modunu kullanmamaları ve güvenilmeyen isme sahip alıcı/gönderici ile bağlantı kurmamaları tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!