Nuevos fallos de seguridad en las funcionalidades de AirDrop y de Compartir contraseña

Su privacidad es importante para nosotros

Nosotros y nuestros socios almacenamos o accedemos a información en un dispositivo, tales como cookies, y procesamos datos personales, tales como identificadores únicos e información estándar enviada por un dispositivo, para anuncios y contenido personalizados, medición de anuncios y del contenido e información sobre el público, así como para desarrollar y mejorar productos.

Con su permiso, nosotros y nuestros socios podemos utilizar datos de localización geográfica precisa e identificación mediante las características de dispositivos. Puede hacer clic para otorgarnos su consentimiento a nosotros y a nuestros socios para que llevemos a cabo el procesamiento previamente descrito. De forma alternativa, puede acceder a información más detallada y cambiar sus preferencias antes de otorgar o negar su consentimiento. Tenga en cuenta que algún procesamiento de sus datos personales puede no requerir de su consentimiento, pero usted tiene el derecho de rechazar tal procesamiento. Sus preferencias se aplicarán solo a este sitio web. Puede cambiar sus preferencias en cualquier momento entrando de nuevo en este sitio web o visitando nuestra política de privacidad.

BY Domadis Cabrera
1 agosto, 2019
0 Comments

Por tu anuncio aquí

iOS seguridad

Un fallo de seguridad de AirDrop puede permitir que cualquier persona con una computadora portátil y un software de escaneo vea tu número de teléfono. Lo mismo ocurre cuando compartes una contraseña de Wi-Fi desde tu iPhone.

Hacer lo mismo desde una Mac revela tu dirección MAC permanente.

iOS es el mejor sistema operativo móvil existente por una sencilla razón: le facilita la vida a los usuarios.

Apple facilita a las personas localizar iPhones perdidos, compartir contraseñas de Wi-Fi y usar AirDrop para enviar archivos a otros dispositivos cercanos. Pero la comodidad tiene viene a un costo: tu privacidad.

Un informe publicado recientemente demuestra cómo un hacker puede aprovechar estas funcionalidades para obtener una gran cantidad de datos potencialmente confidenciales que en algunos casos incluyen números de teléfono.

Por tu anuncio aquí

El simple hecho de que Bluetooth esté activado transmite una gran cantidad de detalles del dispositivo, incluido su nombre, si está en uso, si el Wi-Fi está activado, la versión del sistema operativo que está funcionando e información sobre la batería.

Pero más preocupante aun que el uso de AirDrop o el uso de la funcionalidad de compartir contraseñas Wi-Fi transmite un hash criptográfico parcial que se puede convertir fácilmente en el número de teléfono completo de un iPhone. La información, que en el caso de una Mac también incluye una dirección MAC estática que se puede utilizar como un identificador único, se envía en paquetes Bluetooth de baja energía.

La información divulgada puede no ser un gran problema en muchos entornos, como los lugares de trabajo donde todo el mundo se conoce. Pero la exposición puede ser más espeluznante en lugares públicos, como un aeropuerto, un metro, un bar, una tienda por departamentos o en un concierto, donde cualquier persona con un hardware de bajo costo y un poco de conocimiento puede recopilar los detalles de todos los dispositivos Apple que tienen BLE encendido.

Los datos también podrían ser de gran ayuda para las empresas que realizan un seguimiento de los clientes a medida que se mueven a través de puntos de venta.

Por ejemplo, cuando alguien usa AirDrop para compartir un archivo o una imagen, está transmitiendo un hash SHA256 parcial de su número de teléfono. En caso de que se use la función de compartir contraseña Wi-Fi, el dispositivo está enviando hash parciales SHA256 de su número de teléfono, la dirección de correo electrónico del usuario y el Apple ID del usuario.

Si bien es cierto que solo se transmiten los primeros tres bytes del hash, los investigadores de la firma de seguridad Hexway (que publicó la investigación) dicen que esos bytes proporcionan suficiente información para recuperar el número de teléfono completo.

A continuación se muestra un video de un ataque:

El informe de Hexway incluye un software de prueba de concepto que demuestra la transmisión de información. El CEO de Errata Security, Rob Graham, instaló la prueba de concepto en una computadora portátil que estaba equipada con un dispositivo de detección de paquetes inalámbrico, y en un minuto o dos capturó detalles de más de una docena de iPhones y Apple Watches que estaban dentro del alcance de radio del bar donde trabajaba. El dispositivo resaltado en el centro de la imagen a continuación es su iPhone.

“No es tan malo, pero que cualquiera pueda obtener la información de estado, y tu número de teléfono si que es malo. Es poco probable que Apple pueda evitar que se filtren números de teléfono y otra información, ya que son necesarios, de alguna forma para que los dispositivos se conecten sin problemas con otros dispositivos en los que el usuario confía.”

Esta es la compensación clásica que las compañías como Apple intentan hacer al equilibrar la facilidad de uso con la privacidad/seguridad.

En general, los protocolos de descubrimiento automático a menudo requieren el intercambio de información personal para que funcionen, y como tal, pueden revelar cosas que podrían considerarse sensibles. Y por ello, las persona con conocimientos de seguridad mantienen dichos protocolos desactivados.

CONOCE AL AUTOR

About Domadis Cabrera

Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.