Đức: Tìm ra lỗ hổng bảo mật trên AirDrop, có thể làm lộ số điện thoại và email người dùng

Thứ Tư vừa rồi, một nhóm các nhà nghiên cứu người Đức tại Đại học Kỹ thuật Darmstadt đã diễn giải trên lý thuyết cách mà AirDrop có thể làm lộ số điện thoại và email của người dùng. Theo đó thì chỉ cần thông qua một “thủ thuật cơ bản”, tin tặc đã có thể tạo một cuộc tấn công bằng phần mềm để lấy cắp thông tin cá nhân của bất kỳ người dùng nào đang chia sẻ AirDrop công khai ở gần.

Mặc dù điều kiện trên là khá đặc biệt, nhưng nhóm nghiên cứu vẫn cho rằng đây là lỗ hổng có thể gây ra “rò rỉ nghiêm trọng về quyền riêng tư”. Dưới đây là một đoạn trích ra từ ghi chép của họ về một phần cơ chế hoạt động của AirDrop: 

“ Để xác định xem bên kia có phải một liên hệ hay không, AirDrop sẽ sử dụng cơ chế xác thực lẫn nhau nhằm so sánh số điện thoại và email của người dùng này với các mục tương ứng trong danh bạ của người dùng khác.”

Mặc dù tất cả thông tin trên đều được mã hoá bởi Apple, nhưng theo các nhà nghiên cứu thì kỹ thuật chia nhỏ dữ liệu (tạm dịch từ “hashing”) của nhà Táo lại không cho ra khả năng bảo vệ quyền riêng tư cần thiết. Giá trị chia nhỏ lúc này có thể bị đảo ngược dễ dàng bằng các thủ thuật đơn giản từ hacker, ví dụ như tấn công gây quá tải. 

Trên thực tế, các chuyện gia phân tích bảo mật đã tìm ra lỗ hổng trên AirDrop kể từ 2019. Họ đã báo cáo với Apple vào tháng 5 năm đó, nhưng công ty tới từ Cupertino đến nay vẫn chưa có xác nhận gì về điều này. Vậy là trên lý thuyết, “hơn 1,5 tỉ thiết bị Apple vẫn đứng trước nguy cơ bị tấn công vào quyền riêng tư.” – nhóm nghiên cứu tại Đại học Darmstadt chia sẻ thêm.  

Theo AppleInsider