Ars Technica, perşembe günü yayınladığı raporda araştırmacıların kablosuz paylaşım özelliği hakkındaki keşiflerini açıkladı. Bulgulara göre AirDrop içerisindeki güvenlik açığı, dizüstü bilgisayar ve tarama yazılımı olan herkesin paylaşım aygıtının telefon numarasını tespit etmesini mümkün kılıyor.
Hexway'in raporu, bilgi yayınını gösteren kanıt yazılımı içeriyor. Errata Güvenlik CEO'su Rob Graham, konseptin delilini kablosuz paket dinleyicisi donanımına sahip bir dizüstü bilgisayara kurdu ve bir yahut iki dakika içinde, kapsama alanında bulunan bir düzineden fazla iPhone ve Apple Watch'ın ayrıntılarını yakaladı.
Ne yazık ki araştırmacılar; bunun Apple'ın kullanım kolaylığı ile güvenlik/mahremiyet arasında denge kurmaya çalışırken ortaya çıkan, epey yaygın bir güvenlik açığı olduğunu söylüyor.
Bağımsız mahremiyet ve güvenlik araştırmacısı Ashkan Soltani, Ars'a “Bu, Apple üzere şirketlerin kullanım kolaylığı ile mahremiyet/güvenlik dengelemesi yaparken denemeye çalıştığı klasik takas” dedi ve ekledi: “Otomatik keşif protokolleri, çoklukla çalışmalarını sağlamak için ferdî bilgilerin değişimini gerektirir ve bu nedenle hassas sayılabilecek şeyleri ortaya çıkarabilir. Güvenlik ve mahremiyet konusunda çalışan birden fazla kişinin, AirDrop üzere otomatik keşif protokollerini prensip olarak devre dışı bıraktığını biliyorum.”
Güvenlik açığından yararlanmaya gelince Apple, tehlikeyi ortadan kaldırmaya çalışsa bile oldukça kolay erişilebilen bir açık olduğu anlaşılıyor.
Teknik açıklamalara nazaran birinin bir belgeyi yahut resmi paylaşmak için AirDrop kullanıyor olması durumunda, telefon numaralarının kısmi bir SHA256 hash'ini yayınlıyorlar. Wi-Fi şifre paylaşımı kullanılıyorsa cihaz; telefon numarasının, kullanıcının e-posta adresinin ve kullanıcının Apple kimliğinin kısmi SHA256 karma iletilerini gönderiyor. Hash'inin sırf birinci üç baytı yayınlanırken Hexway araştırmacıları, bu baytların telefon numarasının tamamını kurtarmak için kâfi bilgi sağladığını söylüyorlar.