DIG|ME

Por que os proprietários de iPhone devem desligar o AirDrop. agora.

Nem tudo o que a Apple faz “apenas funciona” — pelo menos não como o planejado, de qualquer maneira.

Pesquisadores de segurança que exploram o AirDrop, o recurso iOS e macOS que permite que os usuários compartilhem arquivos sem fio via WiFi e Bluetooth, relataram quarta-feira uma falha que eles dizem expor os e-mails e números de telefone dos usuários. A menos que você queira que todos os vermes da rua sejam capazes de pegar secretamente suas informações de contato, é um pesadelo.

Os pesquisadores, uma equipe composta por membros do Secure Mobile Networking Lab (SEEMOO) e do Cryptography and Privacy Engineering Group (ENCRYPTO),afirmam que alertaram a Apple sobre a falha em maio de 2019. No entanto, segundo eles, a empresa nunca respondeu.

“Como atacante, é possível aprender os números de telefone e endereços de e-mail dos usuários do AirDrop – mesmo que um completo estranho”, lê-se no comunicado de imprensa de terça-feira. “Tudo o que eles precisam é de um dispositivo capaz de Wi-Fi e proximidade física a um alvo que inicia o processo de detecção abrindo o painel de compartilhamento em um dispositivo iOS ou macOS.”

Entramos em contato com a Apple para confirmar as descobertas e perguntar se de fato ela foi alertada sobre a vulnerabilidade em 2019. Não recebemos resposta imediata.

Notavelmente, esta não é a primeira situação de privacidade questionável ligada ao AirDrop. Em 2019, pesquisadores descobriram que eles eram capazes de determinar os números de telefone dos usuários com base nos hashes parciais que o AirDrop envia. Não está claro se essa preocupação já foi abordada pela Apple, especialmente porque a vulnerabilidade divulgada nesta semana parece semelhante na natureza.

“Os problemas descobertos estão enraizados no uso de funções hash da Apple para ‘ofuscar’ os números de telefone e endereços de e-mail trocados durante o processo de descoberta [airdrop]”, explica o comunicado de imprensa de terça-feira. “No entanto, pesquisadores da TU Darmstadt já mostraram que o hashing não fornece a descoberta de contato que preserva a privacidade, pois os chamados valores de hash podem ser rapidamente revertidos usando técnicas simples, como ataques de força bruta.”

O AirDrop também é conhecido por sua associação com o assédio digital. Especificamente, os assediadores usavam o recurso para o cyber-flashing — no qual um estranho bombardeia o telefone da vítima com fotos indesejadas de natureza sexual ou gráfica — e enviava imagens associadas a supremacistas brancos para pessoas que apenas faziam seus próprios negócios em público.

Claro, você não tem que lidar com nada disso.

Se você preferir evitar que seu iPhone exponha suas informações de contato a creeps e proteja-se contra flashes cibernéticos, você pode desligar o AirDrop (e desativar o Bluetooth enquanto estiver nele).

Não é uma coisa permanente – você sempre pode ligar o AirDrop por uma breve razão se precisar por alguma razão – mas desativar o recurso lhe dará um pouco de paz de espírito, e ei, isso “só funciona”.

Sair da versão mobile