Apple AirDrop, Kişisel Bilgileri Sızdırıyor

Araştırmacılar, Mac ve iPhone ortasında kablosuz olarak evrak transferine imkan tanıyan AirDrop’un kullanıcı e-postalarını ve telefon numaralarını sızdırdığını ortaya çıkardı. Üstelik bunu durdurmak için hizmeti kapatmaktan diğer bir seçenğinizin olmadığı ortaya çıktı.

AirDrop, yakındaki aygıtlarla direkt temaslar kurmak için Wi-Fi ve Bluetooth Düşük Güç özelliğini kullanıyor, böylelikle fotoğraflar, evraklar ve başka öğeleri bir iOS yahut macOS aygıtından başkasına basitçe gönderebiliyor. Özelliğin içindeki bir mod sadece kişi listenizdekilerin bağlanmasına müsaade veriyor, ikincisi herkesin bağlanmasına ve sonuncusu ise hiçbir temasa müsaade vermiyor.

Gönderen kişinin aygıtının yakındaki öbür aygıtlara bağlanması gerekip gerekmediğini belirlemek için AirDrop, gönderenin telefon numarası ve e-posta adresinin şifrelenmiş halinin kısmi bir karmasını içeren Bluetooth sinyalleri yayınlıyor. Kesilen karmalardan rastgele biri alıcı aygıtın adres defterindeki rastgele bir telefon numarası yahut e-posta adresiyle eşleşirse yahut aygıt herkesten alacak formda ayarlanmışsa, iki aygıt Wi-Fi üzerinden karşılıklı kimlik doğrulama muahedesi yapıyor. El sıkışma sırasında aygıtlar, sahiplerinin telefon numaralarının ve e-posta adreslerinin tam SHA-256 karmalarını değiş tokuş ediyor.

Doğal ki Hash’ler, onları oluşturan açık metne geri dönüştürülemez, fakat açık metindeki entropi yahut rastgelelik ölçüsüne bağlı olarak, çoklukla bunları çözmek mümkün. Hackerlar bunu, çok sayıda kestirimde bulunan ve aranan hash’i oluşturan metni bulana kadar devam eden bir “kaba kuvvet saldırısı” gerçekleştirerek yaparlar. Açık metindeki entropi ne kadar azsa, bir saldırganın denemesi için daha az muhtemel aday olduğundan kestirim etmek yahut çözmek de o kadar kolay oluyor.

Telefon numaralarındaki entropi ölçüsü o kadar az ki, dünyadaki tüm muhtemel telefon numaralarının sonuçlarını içeren evvelden hesaplanmış bir veritabanında bir hash aramak milisaniyeler sürdüğü için bu kırma süreci kıymetsizdir. Birçok e-posta adresi daha fazla entropiye sahip olsa da, bunlar da son 20 yılda veritabanı ihlallerinde ortaya çıkan milyarlarca e-posta adresi kullanılarak kırılabilir.

“Bu kıymetli bir bulgu, zira saldırganların daha sonraki adımlarda amaçlı kimlik avı atakları, dolandırıcılık taarruzları, vb. için berbata kullanılabilecekleri Apple kullanıcı bilgilerini ele geçirmelerini sağlar,” dedi Almanya Darmstadt Teknik Üniversitesi’ndeki güvenlik açıklarını bulan araştırmacılardan biri olan Christian Weinert. “Kim Donald Trump’a WhatsApp üzerinden direkt bildiri göndermek istemez ki? Saldırganların tek muhtaçlığı, kurbanlarının yakınında Wi-Fi özellikli bir aygıt.”

Ağustos ayında USENIX Güvenlik Sempozyumunda sunulan bir bildiride Weinert ve TU Darmstadt’ın SEEMOO laboratuvarından araştırmacılar, güvenlik açıklarından yararlanmak için iki yol tasarladılar.

En kolay ve en güçlü sistem, bir saldırganın yakındaki öteki aygıtların gönderdiği keşif isteklerini izlemesi. Gönderen aygıt, kullanılabilir AirDrop alıcılarını her taradığında kendi hash uygulanmış telefon numarasını ve e-posta adresini ifşa ettiğinden, saldırganın yakındaki Mac’lerin paylaşım menüsünü yahut yakındaki iOS aygıtların paylaşım sayfasını  açmasını beklemesi kâfi. Saldırganın telefon numarasına, e-posta adresine yahut maksatla ilgili rastgele bir ön bilgiye sahip olmasına gerek yok.

İkinci bir formül büyük ölçüde bilakis çalışıyor. Bir saldırgan, bir paylaşım menüsü yahut paylaşım sayfası açabilir ve yakındaki rastgele bir aygıtın kendi hash ayrıntılarıyla cevap verip vermediğini görebilir. Bu teknik birincisi kadar güçlü değil çünkü sırf saldırganın telefon numarası yahut e-posta adresi zati alıcının adres defterindeyse çalışıyor.

Tekrar de, saldırgan telefon numarası yahut e-posta adresi birçok kişi tarafından güzel bilinen biri olduğunda atak kullanışlı olabilir. Örneğin bir yönetici, irtibat bilgilerinin adres defterlerinde kayıtlı olduğu rastgele bir çalışanın telefon numarasını yahut e-posta adresini almak için bunu kullanabilir.

Weinert bir e-postada şunları yazdı:

“Gönderen sızıntısı” dediğimiz şey (yani, bir belgeyi paylaşmak isteyen biri, hash edilmiş kişi tanımlayıcılarını sızdırıyor) halka açık noktalara yahut öbür Wi-Fi noktalarına “böcekler” (küçük Wi-Fi faal cihazlar) yerleştirerek berbata kullanılabilir.

Diyelim ki, bir konferans odasına yahut siyasetçilerin, ünlülerin yahut öbür “VIP’lerin” bir ortaya geldiği bir aktifliğe (örneğin, Oscar Ödülleri) bu türlü bir böcek yerleştiriyorsunuz. Bunlardan biri bir Apple aygıtında paylaşım bölmesini açar açmaz, en azından özel cep telefonu numarasına sahip olabilirsiniz.

Muhabir bakış açısından, “alıcı sızıntısı” dediğimiz şeye ait bir senaryo: Bir öyküyü anlatmak için bir ünlüyle e-posta irtibatında olduğunuzu varsayalım. Ünlü kişi bu nedenle e-posta adresinizi kaydetmişse, yakınındayken (örneğin bir röportaj sırasında) ferdî cep telefonu numarasını kolaylıkla alabilirsiniz. Bu durumda, ünlünün paylaşım bölmesini açması yahut öteki bir halde aygıtına dokunması bile gerekmez!

Araştırmacılar, bulgularını Mayıs 2019’da Apple’a özel olarak bildirdiklerini söylüyorlar. Bir buçuk yıl sonra Apple’a, iki tarafın savunmasız karmaları ifşa etmeden irtibat kurmalarına imkan tanıyan bir kriptografik teknik olan Private set intersection‘ı kullanan, elden geçirilmiş bir AirDrop sürümü “PrivateDrop”u sundular. PrivateDrop uygulaması, GitHub’da herkese açık olarak mevcut.

Araştırmacılar çalışmalarını özetleyen bir gönderide “iOS/macOS üzerinde PrivateDrop prototip uygulamamız, zımnilik dostu karşılıklı kimlik doğrulama yaklaşımımızın AirDrop’un örnek kullanıcı tecrübesini bir saniyenin çok altındaki kimlik doğrulama gecikmesiyle koruyacak kadar verimli olduğunu gösteriyor” diye yazdılar.

Apple hala daha PrivateDrop’u benimsemeyi yahut sızıntıyı gidermek için öteki bir yol kullanmayı planlayıp planlamadığını şimdi belirtmedi. Apple temsilcileri, ArsTechnica’nın mevzuyla ilgili yorum yapmalarını isteyen e-postaya da cevap vermedi.

Bunun manası, birinin macOS yahut iOS’ta bir paylaşım paneli açtığı her seferinde, en azından telefon numaralarını ve muhtemelen e-posta adreslerini ifşa eden hash’leri sızdırmaya devam edecekleri. Ve birtakım durumlarda, sadece AirDrop’un faal olması bile bu detayları sızdırmak için kâfi olabilir.

Weinert, şimdilik sızıntıyı önlemenin tek yolunun AirDrop keşfini sistem ayarları menüsünde “Hiç kimse” olarak ayarlamak ve ayrıyeten paylaşım bölmesini açmamak olduğunu söyledi. AirDrop’u meskende yahut öbür tanıdık yerlerde kullanırken bu tavsiye çok olabilir. Bir konferansta yahut halka açık öteki bir yerde bilgisayar kullanırken ise daha mantıklı.

Kaynak: Technopat