AirDrop dính lỗ hổng bảo mật nghiêm trọng

Lỗ hổng bảo mật trong xác thực gửi và nhận thông qua AirDrop trên thiết bị iOS có thể khiến người dùng bị lộ email và số điện thoại.

Lỗ hổng mới phát hiện trên tính năng AirDrop có khả năng giúp tin tặc trong phạm vi Wi-Fi xem được số điện thoại và địa chỉ email của nạn nhân thông qua thiết bị iOS hoặc macOS. Các nhà nghiên cứu bảo mật phát hiện ra lỗ hổng nói họ đã gửi cho Apple vào tháng 5.2019, nhưng đến nay ‘Táo khuyết’ vẫn chưa cung cấp bản sửa lỗi cho 1,5 tỷ thiết bị bị ảnh hưởng…

Ảnh: minh họa

Các nhà nghiên cứu tại Đại học Công nghệ Darmstadt (Đức) nói rằng lỗi bảo mật nghiêm trọng này là sự kết hợp của hai vấn đề. Đầu tiên, để cung cấp tùy chọn "Chỉ danh bạ", các thiết bị của Apple cần yêu cầu dữ liệu cá nhân từ tất cả các thiết bị trong phạm vi.

Vì dữ liệu nhạy cảm thường được chia sẻ độc quyền với những người mà người dùng đã biết, nên mặc định AirDrop sẽ chỉ hiển thị thiết bị nhận từ danh bạ trong sổ địa chỉ. Để xác định xem bên kia có phải là người liên hệ hay không, AirDrop dùng cơ chế xác thực lẫn nhau để so sánh số điện thoại và địa chỉ email của người dùng với các mục nhập trong sổ địa chỉ.

Vấn đề thứ hai chính là mặc dù dữ liệu trao đổi được mã hóa nhưng Apple lại sử dụng một cơ chế băm tương đối yếu. Đó là cơ chế để làm xáo trộn các số điện thoại và địa chỉ email đã trao đổi trong quá trình chuyển giao giữa AirDrop. Theo các nhà nghiên cứu, cơ chế này có thể dễ dàng được phá giải bằng cách sử dụng các kỹ thuật đơn giản như tấn công brute-force.

Hãng hiện vẫn chưa đưa ra cách khắc phục triệt để cho vấn đề. Nhóm nghiên cứu cho biết cách tốt nhất là người dùng tắt hẳn AirDrop khi không có nhu cầu sử dụng.

Hồng Ngọc (T/h)