Connect with us

Hi, what are you looking for?

Headline

AirDrop Membocorkan Alamat Email dan Nomor Telepon

AirDrop Membocorkan Alamat Email dan Nomor Telepon

[ad_1]

AirDrop, fitur tersebut yang memungkinkan Mac dan iPhone pengguna untuk mentransfer file secara nirkabel antar perangkat, membocorkan email pengguna dan nomor telepon, dan tidak banyak yang dapat dilakukan siapa pun untuk menghentikannya selain mematikannya, kata para peneliti.

AirDrop menggunakan Wi-Fi dan Bluetooth Hemat Energi untuk membuat koneksi langsung dengan perangkat terdekat sehingga mereka dapat memancarkan gambar, dokumen, dan hal-hal lain dari satu perangkat iOS atau macOS perangkat ke perangkat lain. Satu mode hanya memungkinkan kontak untuk terhubung, yang kedua memungkinkan siapa pun untuk terhubung, dan yang terakhir tidak memungkinkan koneksi sama sekali.

Untuk menentukan apakah perangkat calon pengirim harus terhubung dengan perangkat terdekat lainnya, AirDrop menyiarkan Bluetooth iklan yang berisi sebagian hash kriptografik dari nomor telepon dan alamat email pengirim. Jika salah satu hash yang terpotong cocok dengan nomor telepon atau alamat email di buku alamat perangkat penerima atau perangkat disetel untuk menerima dari semua orang, kedua perangkat akan terlibat dalam jabat tangan autentikasi bersama melalui Wi-Fi. Selama jabat tangan, perangkat bertukar hash SHA-256 lengkap dari nomor telepon dan alamat email pemilik.

Hash, tentu saja, tidak dapat diubah kembali menjadi teks bebas yang menghasilkannya, tetapi bergantung pada jumlah entropi atau keacakan dalam teks bersih, sering kali mungkin untuk mengetahuinya. Peretas melakukan ini dengan melakukan “serangan brute-force”, yang memberikan tebakan dalam jumlah besar dan menunggu tebakan yang menghasilkan hash yang dicari. Semakin sedikit entropi dalam cleartext, semakin mudah untuk ditebak atau dipecahkan, karena ada lebih sedikit kandidat yang mungkin untuk dicoba oleh penyerang.

Jumlah entropi dalam nomor telepon sangat minim sehingga proses pemecahan ini mudah karena membutuhkan milidetik untuk mencari hash dalam database yang dihitung sebelumnya yang berisi hasil untuk semua kemungkinan nomor telepon di dunia. Meskipun banyak alamat email memiliki lebih banyak entropi, mereka juga dapat diretas menggunakan miliaran alamat email yang muncul dalam pelanggaran basis data selama 20 tahun terakhir.

“Ini adalah temuan penting karena memungkinkan penyerang mendapatkan informasi yang agak pribadi dari pengguna Apple yang pada langkah selanjutnya dapat disalahgunakan untuk serangan spear phishing, penipuan, dll. Atau hanya dijual,” kata Christian Weinert, salah satu peneliti. di Universitas Teknik Darmstadt Jerman yang menemukan kerentanan. “Siapa yang tidak ingin mengirim pesan langsung, katakanlah, Donald Trump di WhatsApp? Yang dibutuhkan penyerang adalah perangkat berkemampuan Wi-Fi di dekat korbannya.”

Advertisement. Scroll to continue reading.

Di sebuah kertas disajikan pada bulan Agustus di Simposium Keamanan USENIX, Weinert dan peneliti dari laboratorium SEEMOO TU Darmstadt menemukan dua cara untuk mengeksploitasi kerentanan.

Metode termudah dan paling ampuh adalah bagi penyerang dengan hanya memantau permintaan penemuan yang dikirim oleh perangkat lain di sekitar. Karena perangkat pengirim selalu mengungkapkan nomor telepon dan alamat email yang di-hash sendiri setiap kali memindai penerima AirDrop yang tersedia, penyerang hanya perlu menunggu Mac terdekat untuk membuka menu berbagi atau perangkat iOS terdekat untuk membuka lembar saham. Penyerang tidak perlu memiliki nomor telepon, alamat email, atau pengetahuan sebelumnya tentang target.

Metode kedua bekerja secara terbalik. Penyerang dapat membuka menu berbagi atau lembar berbagi dan melihat apakah ada perangkat di sekitar yang merespons dengan detail berciri mereka sendiri. Teknik ini tidak sekuat yang pertama karena hanya berfungsi jika nomor telepon atau alamat email penyerang sudah ada di buku alamat penerima.

Tetap saja, serangan itu bisa berguna jika penyerangnya adalah seseorang yang nomor telepon atau alamat emailnya diketahui oleh banyak orang. Seorang manajer, misalnya, dapat menggunakannya untuk mendapatkan nomor telepon atau alamat email setiap karyawan yang menyimpan informasi kontak manajer di buku alamat mereka.

Dalam sebuah email, Weinert menulis:

Apa yang kami sebut “kebocoran pengirim” (yaitu, seseorang yang bermaksud untuk berbagi file membocorkan pengenal kontak mereka yang di-hash) dapat dimanfaatkan dengan menanam “bug” (perangkat berkemampuan Wi-Fi kecil) di hot spot publik atau tempat menarik lainnya.

[ad_2]

Source

Click to comment

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.

Artikel Lainnya

Advertisement
close