Investigadores de la Universidad Tecnológica de Alemania, Darmstadt, hicieron público un fallo donde aseguran que cibercriminales pueden conocer datos de los usuarios como teléfono o correo electrónico. La falla y una solución al problema fueron reportadas a Apple en 2019, pero aseguran que hasta el momento la compañía no lo ha solucionado, por lo que estiman que hay 1,500 millones de dispositivos afectados.
AirDrop permite enviar archivos de forma inalámbrica entre dispositivos de Apple en cuestión de segundos, y es una de las características que más valoran los usuarios dentro del ecosistema.
Sin embargo, existe la opción de transmitir datos únicamente a contactos o personas que conozcas, por lo que la tecnología de Apple verifica si el otro dispositivo es de un contacto utilizando un mecanismo de autenticación mutua que compara el número de teléfono y la dirección de correo electrónico registradas en el dispositivo contra la de tu lista de contactos.
Los datos están cifrados, pero tienen un hash débil
Los investigadores mencionaron que a pesar de que el proceso de verificación y traspaso de datos está cifrado, su hash es débil debido a que sus valores se pueden invertir rápidamente utilizando distintos tipos de ataques.
Un hash o función criptográfica hash es un algoritmo matemático que transforma los datos en una serie de caracteres para cifrarlos.
El equipo de investigación asegura que como atacante es posible descubrir los números de teléfono y direcciones de correo electrónico de los usuarios simplemente con estar cerca de un dispositivo de Apple y tener activada la conexión WiFi.
Asimismo, aseguran haber ofrecido a Apple la solución mediante un nuevo protocolo criptográfico al que llamaron “PrivateDrop”, el cual mejora el proceso de encriptación para iOS y macOS.
Debido a que aseguran que Apple no ha reconocido el problema ni ha anunciado que trabaja en una solución, recomiendan a los usuarios desactivar AirDrop de la configuración de su teléfono para evitar que sus datos puedan ser comprometidos.