Por carta: Há cerca de 1,5 bilhão de dispositivos Apple em uso em 2021, todos os quais oferecem uma maneira conveniente de transferir arquivos e imagens entre eles quando estão dentro do alcance do wi-fi. Foi revelado que todos esses usuários correm o risco de compartilhar informações pessoais involuntariamente com um agente mal-intencionado sempre que abrem um painel de compartilhamento.
Se você possuir mais de um dispositivo Apple – digamos, um iPhone e um Mac – provavelmente já está familiarizado com o AirDrop. Há algo a ser dito sobre a conveniência de transferir documentos, imagens e muito mais de dispositivos próximos. Não há necessidade de usar pen drives ou enviar coisas para você mesmo ou para familiares e amigos, especialmente se esses dispositivos estiverem conectados à mesma rede Wi-Fi ou se estiverem a uma distância de 30 pés um do outro.
Só há um pequeno problema – o AirDrop tem uma falha que permite que qualquer pessoa dentro do alcance do Wi-Fi veja seu endereço de e-mail e número de telefone assim que você abre o painel de compartilhamento em seu dispositivo iOS ou macOS. Isso foi descoberto por pesquisadores da Technische Universitat Darmstadt, que notificou a Apple sobre a vulnerabilidade em maio de 2019.
Desde então, a Apple não fez nada para corrigir o problema, apesar de afetar 1,5 bilhão de dispositivos atualmente em uso em todo o mundo. A configuração padrão do AirDrop em todos eles é “Somente contatos”, com a possibilidade de alterar para “Todos” ou “Recebimento desativado”.
Por padrão, o sistema de autenticação mútua do AirDrop verifica se o dispositivo de envio e recebimento são propriedade da mesma pessoa ou se pertencem a pessoas que estão na lista de contatos um do outro. Durante esse processo, os dados confidenciais que estão sendo trocados entre os dispositivos são criptografados, mas os pesquisadores observam que os hashes de identidade resultantes são fracos o suficiente para serem quebrados por meio de ataques de força bruta.
Neste ponto, não está claro por que a Apple não corrigiu o problema, especialmente porque os pesquisadores de segurança também ofereceram uma solução proposta que apelidaram de PrivateDrop, que torna o processo de descoberta de contato mais seguro, tendo um impacto mínimo no atraso de autenticação. Caso contrário, a única maneira de atenuar a vulnerabilidade é desabilitar a descoberta AirDrop completamente, mas isso tornaria o recurso muito menos conveniente.