AirDrop pode colocar e-mails e números de telefones em risco

Uma brecha nos protocolos de segurança de iPhones, iPads, Macs e outros dispositivos da Apple pode expor números de telefone e endereços de e-mails dos usuários que estiverem nas proximidades. A vulnerabilidade foi encontrada no AirDrop, sistema que facilita a transferência de arquivos e outras informações entre aparelhos compatíveis, e permanece aberta até o momento em que essa reportagem é escrita.

• Facebook tem nova brecha que pode expor milhões de usuários
• Um em cada oito smartphones no Brasil está infectado com malwares
• Criminosos usam o Oscar 2021 para roubar dados e distribuir vírus

A vulnerabilidade foi encontrada por um grupo de pesquisadores da Alemanha e batizada de PrivateDrop. Ainda não existem indícios de uso malicioso da brecha, mas os especialistas afirmam que a Apple tem conhecimento dela há pelo menos dois anos e, ainda que existam maneiras de os próprios usuários se protegerem, a empresa deveria dar mais atenção a um sistema que está presente em todos os aparelhos atuais da marca e, muitas vezes, pode estar ativado por padrão, com os utilizadores nem mesmo sabendo estarem em risco.

O problema, mais especificamente, está na criptografia usada para comunicação entre os dispositivos. Números de telefone e endereços de e-mail são transmitidos entre eles em formato hash, com 256 caracteres, um mecanismo padrão que, em teoria, não pode ser reconstituído. No uso normal, quando os aparelhos estão configurados para aceitarem transferências apenas de usuários que estejam na lista de contatos, essa combinação é comparada com aquelas disponíveis na agenda, liberando ou não o acesso. Até aqui, tudo bem, não fosse o formato previsível das informações trafegadas.

Segundo os especialistas, números de telefone tem sempre o mesmo número de dígitos e formato, o que permitiria que um software revertesse os hashes de volta ao dado original. No caso dos e-mails, isso seria mais difícil, mas ainda assim possível, principalmente se um indivíduo malicioso estiver procurando por elementos específicos, como endereços de uma empresa ou com um nome em particular. Para um atacante, bastaria saber onde procurar e estar ao alcance da possível vítima com um aparelho compatível.

A recomendação dos pesquisadores é para que a Apple modifique o formato criptográfico usado no AirDrop ou usando outros valores na hora de transformar celulares ou e-mails em hashes. Brechas semelhantes também são citadas por outros especialistas em segurança desde 2019, com a Maçã não se pronunciando sobre o assunto nem realizando atualizações ou modificações.

Até que elas venham, a recomendação é que os usuários desativem o AirDrop completamente ou, então, ajustem as configurações de segurança para que qualquer pessoa possa enviar dados. Por um lado, isso impede a transmissão das informações para verificação, por outro, também abre a porta para que estranhos possam entrar em contato. O ideal é medir o nível de inconveniência das opções, incluindo à que leva à própria exposição das informações, e escolher o melhor caminho.

Para fazer isso, acesse o menu de Ajustes do aparelho com iOS e, depois, vá à opção Geral. Por fim, selecione AirDrop e escolha uma das três opções: Recepção Inativa, que desativa o recurso completamente; Apenas Contatos, permitindo a transferência de arquivos apenas para os cadastrados em sua agenda; ou Todos, para liberar a qualquer usuário.

Fonte: Tom's Guide, PrivateDrop