Araştırmacılar, Mac ve iPhone ortasında kablosuz olarak belge transferine imkan tanıyan AirDrop’un kullanıcı e-postalarını ve telefon numaralarını sızdırdığını ortaya çıkardı. Üstelik bunu durdurmak için hizmeti kapatmaktan öbür bir seçenğinizin olmadığı ortaya çıktı.
AirDrop, yakındaki aygıtlarla direkt irtibatlar kurmak için Wi-Fi ve Bluetooth Düşük Güç özelliğini kullanıyor, böylelikle fotoğraflar, evraklar ve öbür öğeleri bir iOS yahut macOS aygıtından başkasına basitçe gönderebiliyor. Özelliğin içindeki bir mod sırf kişi listenizdekilerin bağlanmasına müsaade veriyor, ikincisi herkesin bağlanmasına ve sonuncusu ise hiçbir kontağa müsaade vermiyor.
Gönderen kişinin aygıtının yakındaki öteki aygıtlara bağlanması gerekip gerekmediğini belirlemek için AirDrop, gönderenin telefon numarası ve e-posta adresinin şifrelenmiş halinin kısmi bir karmasını içeren Bluetooth sinyalleri yayınlıyor. Kesilen karmalardan rastgele biri alıcı aygıtın adres defterindeki rastgele bir telefon numarası yahut e-posta adresiyle eşleşirse yahut aygıt herkesten alacak halde ayarlanmışsa, iki aygıt Wi-Fi üzerinden karşılıklı kimlik doğrulama muahedesi yapıyor. El sıkışma sırasında aygıtlar, sahiplerinin telefon numaralarının ve e-posta adreslerinin tam SHA-256 karmalarını değiş tokuş ediyor.
Doğal ki Hash’ler, onları oluşturan açık metne geri dönüştürülemez, fakat açık metindeki entropi yahut rastgelelik ölçüsüne bağlı olarak, ekseriyetle bunları çözmek mümkün. Hackerlar bunu, çok sayıda iddiada bulunan ve aranan hash’i oluşturan metni bulana kadar devam eden bir “kaba kuvvet saldırısı” gerçekleştirerek yaparlar. Açık metindeki entropi ne kadar azsa, bir saldırganın denemesi için daha az mümkün aday olduğundan varsayım etmek yahut çözmek de o kadar kolay oluyor.
Telefon numaralarındaki entropi ölçüsü o kadar az ki, dünyadaki tüm muhtemel telefon numaralarının sonuçlarını içeren evvelce hesaplanmış bir veritabanında bir hash aramak milisaniyeler sürdüğü için bu kırma süreci değersizdir. Birçok e-posta adresi daha fazla entropiye sahip olsa da, bunlar da son 20 yılda veritabanı ihlallerinde ortaya çıkan milyarlarca e-posta adresi kullanılarak kırılabilir.
“Bu değerli bir bulgu, zira saldırganların daha sonraki adımlarda maksatlı kimlik avı akınları, dolandırıcılık akınları, vb. için berbata kullanılabilecekleri Apple kullanıcı bilgilerini ele geçirmelerini sağlar,” dedi Almanya Darmstadt Teknik Üniversitesi’ndeki güvenlik açıklarını bulan araştırmacılardan biri olan Christian Weinert. “Kim Donald Trump’a WhatsApp üzerinden direkt ileti göndermek istemez ki? Saldırganların tek gereksinimi, kurbanlarının yakınında Wi-Fi özellikli bir aygıt.”
Ağustos ayında USENIX Güvenlik Sempozyumunda sunulan bir bildiride Weinert ve TU Darmstadt’ın SEEMOO laboratuvarından araştırmacılar, güvenlik açıklarından yararlanmak için iki yol tasarladılar.
En kolay ve en güçlü prosedür, bir saldırganın yakındaki başka aygıtların gönderdiği keşif isteklerini izlemesi. Gönderen aygıt, kullanılabilir AirDrop alıcılarını her taradığında kendi hash uygulanmış telefon numarasını ve e-posta adresini ifşa ettiğinden, saldırganın yakındaki Mac’lerin paylaşım menüsünü yahut yakındaki iOS aygıtların paylaşım sayfasını açmasını beklemesi kâfi. Saldırganın telefon numarasına, e-posta adresine yahut gayeyle ilgili rastgele bir ön bilgiye sahip olmasına gerek yok.
İkinci bir metot büyük ölçüde aksine çalışıyor. Bir saldırgan, bir paylaşım menüsü yahut paylaşım sayfası açabilir ve yakındaki rastgele bir aygıtın kendi hash ayrıntılarıyla cevap verip vermediğini görebilir. Bu teknik birincisi kadar güçlü değil çünkü sadece saldırganın telefon numarası yahut e-posta adresi esasen alıcının adres defterindeyse çalışıyor.
Tekrar de, saldırgan telefon numarası yahut e-posta adresi birçok kişi tarafından düzgün bilinen biri olduğunda taarruz kullanışlı olabilir. Örneğin bir yönetici, bağlantı bilgilerinin adres defterlerinde kayıtlı olduğu rastgele bir çalışanın telefon numarasını yahut e-posta adresini almak için bunu kullanabilir.
Weinert bir e-postada şunları yazdı:
“Gönderen sızıntısı” dediğimiz şey (yani, bir belgeyi paylaşmak isteyen biri, hash edilmiş kişi tanımlayıcılarını sızdırıyor) halka açık noktalara yahut öbür Wi-Fi noktalarına “böcekler” (küçük Wi-Fi aktif cihazlar) yerleştirerek berbata kullanılabilir.
Diyelim ki, bir konferans odasına yahut siyasetçilerin, ünlülerin yahut öteki “VIP’lerin” bir ortaya geldiği bir aktifliğe (örneğin, Oscar Ödülleri) bu türlü bir böcek yerleştiriyorsunuz. Bunlardan biri bir Apple aygıtında paylaşım bölmesini açar açmaz, en azından özel cep telefonu numarasına sahip olabilirsiniz.
Muhabir bakış açısından, “alıcı sızıntısı” dediğimiz şeye ait bir senaryo: Bir kıssayı anlatmak için bir ünlüyle e-posta irtibatında olduğunuzu varsayalım. Ünlü kişi bu nedenle e-posta adresinizi kaydetmişse, yakınındayken (örneğin bir röportaj sırasında) şahsî cep telefonu numarasını kolaylıkla alabilirsiniz. Bu durumda, ünlünün paylaşım bölmesini açması yahut diğer bir biçimde aygıtına dokunması bile gerekmez!
Araştırmacılar, bulgularını Mayıs 2019’da Apple’a özel olarak bildirdiklerini söylüyorlar. Bir buçuk yıl sonra Apple’a, iki tarafın savunmasız karmaları ifşa etmeden irtibat kurmalarına imkan tanıyan bir kriptografik teknik olan Private set intersection‘ı kullanan, elden geçirilmiş bir AirDrop sürümü “PrivateDrop”u sundular. PrivateDrop uygulaması, GitHub’da herkese açık olarak mevcut.
Araştırmacılar çalışmalarını özetleyen bir gönderide “iOS/macOS üzerinde PrivateDrop prototip uygulamamız, saklılık dostu karşılıklı kimlik doğrulama yaklaşımımızın AirDrop’un örnek kullanıcı tecrübesini bir saniyenin çok altındaki kimlik doğrulama gecikmesiyle koruyacak kadar verimli olduğunu gösteriyor” diye yazdılar.
Apple hala daha PrivateDrop’u benimsemeyi yahut sızıntıyı gidermek için öbür bir yol kullanmayı planlayıp planlamadığını şimdi belirtmedi. Apple temsilcileri, ArsTechnica’nın mevzuyla ilgili yorum yapmalarını isteyen e-postaya da cevap vermedi.
Bunun manası, birinin macOS yahut iOS’ta bir paylaşım paneli açtığı her seferinde, en azından telefon numaralarını ve muhtemelen e-posta adreslerini ifşa eden hash’leri sızdırmaya devam edecekleri. Ve birtakım durumlarda, sırf AirDrop’un aktif olması bile bu detayları sızdırmak için kâfi olabilir.
Weinert, şimdilik sızıntıyı önlemenin tek yolunun AirDrop keşfini sistem ayarları menüsünde “Hiç kimse” olarak ayarlamak ve ayrıyeten paylaşım bölmesini açmamak olduğunu söyledi. AirDrop’u meskende yahut başka tanıdık yerlerde kullanırken bu tavsiye çok olabilir. Bir konferansta yahut halka açık öteki bir yerde bilgisayar kullanırken ise daha mantıklı.