Lỗ hổng bảo mật trong xác thực gửi và nhận tập tin thông qua AirDrop trên thiết bị iOS có thể khiến email và số điện thoại của người dùng bị lộ.
Từ năm 2019, nhóm nghiên cứu của Đại học kỹ thuật Darmstadt đã gửi tới Apple báo cáo những phát hiện về bảo mật kém trên tính năng AirDrop của hãng. Nhưng cho đến nay, Apple vẫn chưa có động thái khắc phục.
AirDrop là tính năng cho phép người dùng chia sẻ tập tin với các thiết bị Apple có trong danh bạ. AirDrop sử dụng "cơ chế xác thực lẫn nhau" để so sánh số điện thoại, email của người dùng với sổ danh bạ của thiết bị còn lại, từ đó xác minh ai đó có nằm trong danh bạ hay không.
Dựa vào cách thức hoạt động này, hacker có thể sử dụng "một thiết bị có khả năng kết nối Wi-Fi và ở gần mục tiêu" để "ép buộc" thiết bị Apple đang bật AirDrop xác thực, tiết lộ số điện thoại và email người dùng dù không có nhu cầu trao đổi dữ liệu với bất kỳ máy nào ở gần.
Mặc dù Apple mã hóa thông tin đó, nhưng lại sử dụng một cơ chế băm tương đối yếu nên chỉ cần sử dụng các kỹ thuật đơn giản như tấn công brute-force là có thể đảo ngược giá trị băm.
Báo cáo của nhóm nghiên cứu của Đại học kỹ thuật Darmstadt cũng cho thấy, có khoảng 1,5 tỷ thiết bị Apple có khả năng bị kẻ gian tấn công để lấy thông tin cá nhân thông qua AirDrop.
Hiện tại, Apple vẫn chưa đưa ra giải pháp để khắc phục triệt để vấn đề này. Nhóm nghiên cứu cảnh báo người dùng nên tắt hẳn AirDrop khi không có nhu cầu sử dụng để đảm bảo an toàn thông tin cá nhân.
Để tắt AirDrop, mời các bạn tham khảo trong bài viết "Cách tắt AirDrop trên iPhone, iPad".