Un grupo de investigadores de Hexway, descubrieron una vulnerabilidad en el AirDrop de Apple que permite compartir información delicada de los usuarios, como el número de teléfono del iPhone.
El AirDrop es un dispositivo que se usa para conectar otros dispositivos, es decir funciona como un puente para intercambiar archivos entre el iPhone, iPad o el iPod Touch.
Sin embargo, parece que este equipo no es del todo seguro, pues además de compartir fotos o videos con otros terminales de Apple, también está revelando parte del número telefónico a terceros, según el reporte de ArsTechnica.
Explícitamente, los científicos señalan que la función del intercambio de contraseñas cuenta con un bug que permite filtrar el número hasheado de un iPhone.
Los investigadores dicen que los hash parciales emitidos en Bluetooth se pueden convertir a números de teléfono.
Compartir archivos y algo más
AirDrop es una funcionalidad que permite compartir entre equipos con iOS o macOS, de manera que puedes transferir imágenes, videos, archivos entre un iPod o un iPad fácilmente. Incluso desde un iPhone a una Mac si así lo deseas.
Para realizar la transferencia el dispositivo encripta la información para evitar los ataques. En vista de que actúa como una carpeta virtual a la que puedes acceder y compartir datos con usuarios seleccionados, podría decirse que no representa ninguna amenaza.
Sin embargo, no todo es color de rosa pues debido a que el AirDrop utiliza un sistema de conexión Bluetooth o WiFi, este puente puede ser vulnerado.
Conexión Vulnerable
Según los investigadores, con solo instalar un software en una computadora portátil y un adaptador Bluetooth y WiFi un atacante puede detectar el dispositivo.
AirDrop transmite un hash criptográfico parcial del número de teléfono para establecer la conexión, este puede convertirse fácilmente en el número de teléfono completo de un iPhone.
Y en el caso de las Mac, el equipo también revela la dirección MAC de los equipos, dejando los dispositivos vulnerables al atacante. Si usa la función de uso compartido de contraseña WiFi de Apple, también su ID de Apple y dirección de correo electrónico quedarán expuestos.
Otro investigador llamado Rob Graham, CEO de Errata Security, confirmó que el software compartido por los investigadores en GitHub, sí funciona: «No es tan malo, pero todavía es un poco espeluznante que las personas puedan obtener la información de estado y obtener el número de teléfono es malo«.
Si eres usuario de un dispositivo con iOS 13 o superior, lamentamos informarte que podría estar expuesto a esta vulnerabilidad mediante AirDrop.
En el siguiente video de Hexway podrás ver cómo opera el software del atacante
