Kerentanan AirDrop Kebocoran Nomor Telepon Pengguna Untuk Orang Asing
AirDrop adalah fitur praktis yang membuatnya sangat mudah Apple pengguna untuk berbagi berbagai jenis data dengan orang lain. Sementara AirDrop menambah kenyamanan bagi kehidupan kita, sebuah penemuan baru-baru ini menunjukkan bagaimana hal itu juga membuat kita rentan terhadap pengintaian dengan mengungkapkan nomor telepon iPhone. Di Mac kerentanan yang sama bocor alamat MAC komputer.
Kerentanan berbagi nomor telepon dan alamat MAC tidak terbatas pada AirDrop saja, karena fitur berbagi kata sandi Wi-Fi iOS juga menyiarkan hash kriptografi, yang dapat dikonversi oleh peretas ke nomor telepon iPhone. Dalam hal fitur berbagi Wi-Fi, iPhone menyiarkan nomor telepon, alamat email dan Apple ID pengguna di hash SHA256. Sementara banyak pengguna tidak akan peduli tentang nomor telepon mereka yang diungkapkan kepada orang-orang di sekitar mereka karena sebagian besar dari mereka sudah mengetahuinya, area yang menimbulkan kerentanan ini adalah di tempat umum, tempat orang asing dapat mengetahui nomor telepon Anda dan kemudian berpotensi menggunakan untuk mengekstrak lebih banyak informasi tentang Anda dari web. Perusahaan juga dapat menggunakan informasi ini untuk melacak pergerakan Anda di berbagai toko ritel.
Ketika fitur AirDrop dihidupkan iPhone menyiarkan tiga byte pertama hash SHA256 dengan nomor telepon pengguna. Itu dilakukan untuk memverifikasi perangkat lain milik kontak pengguna atau seseorang yang dipercaya pemilik iPhone. Namun para peneliti di perusahaan keamanan Hexway mengatakan bahwa tiga byte ini memberikan informasi yang cukup yang dapat digunakan untuk mengekstrak nomor telepon lengkap.
Perusahaan keamanan Hexway, yang telah menerbitkan laporan tentang kerentanan ini juga telah membuat perangkat lunak konsep bukti, yang mampu mengekstraksi nomor telepon dan informasi lain dari iPhone terdekat dan Apple Jam tangan. Perangkat lunak harus menjalankan laptop dengan dongle paket sniffer nirkabel.
Tidak banyak Apple bisa lakukan untuk mencegahnya
CEO Errata Security Rob Graham mengatakan bahwa tidak banyak Apple dapat dilakukan untuk mencegah hal ini terjadi ke depan, karena iPhone perlu menyiarkan bagian dari nomor telepon dalam hash SHA256 untuk memastikannya terhubung dan berbagi data AirDrop ke perangkat tepercaya.
Apple telah mencoba untuk membuatnya lebih sulit untuk menemukan nomor telepon pengguna dengan membagikannya dalam hash SHA256, tetapi itu adalah sejauh mana perusahaan dapat pergi sambil juga menawarkan fitur kenyamanan seperti AirDrop.
