از چند سال پیش تا به الان، محققان همواره در مورد وجود یک نقص امنیتی در ایردراپ (AirDrop) به اپل هشدار داده بودند، اما این شرکت هیچ تلاشی برای برطرف کردن این مشکل نکرده است و حالا همین نقص به یک راه برای سوءاستفاده خرابکاران و آسیب زدن به کاربران محصولات اپل در چین تبدیل شده است.
ممنوعیت فروش اپل واچ در ایالات متحده موقتا متوقف شد
سناتور آمریکایی: اپل باید پاسخگو باشد
در سال 2019، محققان دانشگاه فنی دارمشتات آلمان وجود یک نقص امنیتی در عملکرد اشتراکگذاری بیسیم AirDrop اپل را کشف کردند که به مهاجم اجازه میدهد شماره تلفن و آدرس ایمیل کاربران AirDrop را با استفاده از یک دستگاه دارای Wi-Fi و قرار گرفتن در نزدیکی یک دستگاه هک کند. محققان در آن زمان به اپل درباره این آسیبپذیری هشدار دادند، اما ظاهرا این شرکت به این هشدار آنها اهمیتی نداده بود. حتی دو سال بعد، همان گروه راه حلی برای این مشکل پیشنهاد کرد، اما جالب اینجاست که اپل حتی با وجود ارائه راه حل هم هیچ واکنشی نسبت به آن نشان نداده است.
در نهایت امروز عواقب این بیمسئولیتی اپل در رابطه با تامین امنیت محصولات خود آشکار شده است، یا شاید حداقل این اولین موردی است که به صورت علنی منتشر شده است! مقامات قضایی پکن اخیراً اعلام کردند که پلیس توانسته است با کمک شرکت فناوری چینی Wangshendongjian Technology، افرادی را که از این سرویس برای ارسال “اطلاعات نامناسب” به رهگذران در متروی پکن استفاده میکردند، ردیابی کند.
بهتر است کمی در مورد نحوه عملکرد AirDrop بدانیم تا بتوانیم درک بهتری از آنچه که اتفاق افتاده است داشته باشیم. AirDrop یک پروتکل اختصاصی اپل است که به شما امکان میدهد فایلها را مستقیماً اما به صورت بیسیم با سایر کاربران اپل که در نزدیکی شما هستند به اشتراک بگذارید. AirDrop حتی زمانی که هر دو کاربر آفلاین هستند کار میکند، و برای ارتباط ترکیبی از بلوتوث و Wi-Fi را مورد استفاده قرار میدهد.
زمانی که کاربران از طریق حالت «فقط مخاطبین» AirDrop استفاده میکنند در واقع خود را در معرض خطر این آسیبپذری قرار میدهند، جایی که کاربر به AirDrop میگوید فقط پیامهایی را از کاربرانی که قبلاً در لیست مخاطبین او قرار داشتهاند بپذیرد. محققان دانشگاه دارمشتات دریافتند که دو سر یک اتصال AirDrop که تعیین میکند آیا این دو نفر یکدیگر را مخاطب میدانند یا خیر، از بستههای شبکهای استفاده میکنند که به درستی از حریم خصوصی دادههای تماس محافظت نمیکنند.
و در واقع شرکت فناوری چینی Wangshendongjian Technology، با ایجاد یک جدول رنگین کمانی از شماره تلفنهای همراه و حسابهای ایمیل، که متن رمز را به متن اصلی تبدیل میکرد و تلفن همراه فرستنده را قفل میکرد، میتوانست مقادیر هش مربوط به نام دستگاه، آدرس ایمیل و شماره تلفن همراه فرستنده را دور بزند.
این دقیقاً همان چیزی است که محققان دانشگاه دارمشتات هم متوجه آن شده بودند و هشدار داده بودند که چنین اتفاقی رخ خواهد داد: یعنی هش کردن AirDrop نمیتواند حفظ حریم خصوصی را فراهم کند زیرا مقادیر هش را میتوان به سرعت با استفاده از تکنیکهای ساده مانند حملات brute-force معکوس کرد.
این خبر که چین به نحوه هک کردن AirDrop پی برده است، در سراسر کنگره و در میان فعالان حقوق بشر در ایالات متحده بازتاب یافته است. سناتور جمهوری خواه فلوریدا، مارکو روبیو، فعال در کمیته اطلاعات سنا، از اپل خواست که “به دلیل کوتاهی در محافظت از کاربران خود در برابر چنین نقضهای امنیتی آشکار پاسخگو باشد.” همچنین بنجامین اسماعیل، مدیر کمپین و حمایت از Greatfire.org، که بر سانسور اینترنت در چین نظارت میکند، گفت: “الزامی است که اپل در مورد واکنش خود به این تحولات شفاف باشد.”
مطالب مرتبط:
توسط 
توسط 
دیدگاهتان را بنویسید