Machine à sous Gacor https://www.clubelbruz.com/Comunidad/perfil/daftar-situs-slot-gacor-terbaru-2022/ https://www.clubelbruz.com/Comunidad/perfil/bocoran-slot-gacor-admin-slot-gampang-menang/ https://www.clubelbruz.com/Comunidad/perfil/slot-gacor-terpercaya-bonus-new-member/ https://www.clubelbruz.com/Comunidad/perfil/situs-judi-slot-online-gacor-2022/ https://www.clubelbruz.com/Comunidad/perfil/10-situs-judi-slot-online-terbaik-dan-terpercaya/ https://ruta99.gva.es/community/profile/link-situs-slot-online-gacor-2022/ https://ruta99.gva.es/community/profile/bocoran-slot-gacor-rtp-slot-tertinggi-hari-ini/ https://ruta99.gva.es/community/profile/situs-judi-slot-bonus-new-member-100-di-awal/ https://ruta99.gva.es/community/profile/10-situs-judi-slot-online-gacor-terbaik-2022/ https://ruta99.gva.es/community/profile/situs-judi-slot-online-gacor-jackpot-terbesar/ https://www.rozmah.in/profile/daftar-10-situs-judi-slot-online-terpercaya-no-1/profile https://www.philcoulter.com/profile/situs-judi-slot-online-jackpot-terbesar-2022/profile https://www.chefsgallery.com.au/profile/daftar-situs-judi-slot-online-gampang-menang-2022/profile https://www.eppa.com/profile/situs-judi-slot-online-gampang-menang-jp/profile https://www.wishboneandflynt.com/profile/kumpulan-judi-slot-gacor-gampang-menang/profile https://www.youth-impact.org/profile/daftar-10-situs-judi-slot-online-gampang-menang-terbaru/profile https://www.m3creative.net/profile/kumpulan-nama-nama-situs-judi-slot-online-paling-gacor-dan-terpercaya-2022/profile https://www.gtamultigames.com/profile/situs-judi-slot-online-jackpot-terbesar-2022/profile?lang=hi https://www.yuriageasaichi.jp/profile/daftar-nama-nama-10-situs-judi-slot-online-gacor-terbaik-2022/profile?lang=vi https://suphaset.info/question/daftar-situs-judi-slot-bonus-100-di-depan-new-member-baru-judi-slot-online-gacor-terbaru-hari-ini-2022-paling-gampang-menang-to-kecil/ https://www.extensionstudio.rs/profile/daftar-situs-judi-slot-gacor-gampang-menang-hari-ini-2022/profile https://www.thehenleyschoolofart.com/profile/situs-judi-slot-gacor-gampang-menang-hari-ini-2022/profile https://www.rozmah.in/profile/bocoran-situs-slot-gacor-hari-ini-gampang-jackpot/profile https://www.eminamclean.com/profile/daftar-situs-slot-gacor-terbaru-2022-terpercaya-gampang-menang/profile https://www.escoteirosrs.org.br/profile/daftar-link-situs-slot-online-gacor-2022-gampang-menang/profile https://www.finetaste.com.tw/profile/rekomendasi-situs-slot-online-gacor-winrate-tertinggi/profile https://www.andremehmari.com.br/profile/daftar-situs-judi-slot-bonus-100-di-depan/profile https://www.nejisaurus.engineer.jp/profile/bocoran-slot-gacor-admin-slot-gampang-menang-pragmatic-play/profile https://www.moralesfordistrict145.com/profile/situs-slot-bonus-new-member-100-150-200-di-awal-terbaru-2022/profile https://www.onephisigmasigma.org/profile/situs-slot-bonus-new-member-100-di-awal-bisa-beli-spin/profile https://www.gtamultigames.com/profile/bocoran-situs-slot-gacor-terbaru-pragmatic-play-hari-ini/profile?lang=en https://sns.gob.do/foro/perfil/situs-slot-gacor-gampang-menang-pragmatic-play/ https://sns.gob.do/foro/perfil/link-rtp-live-slot-gacor-2022/ https://sns.gob.do/foro/perfil/informasi-jadwal-bocoran-slot-gacor-hari-ini/ https://sns.gob.do/foro/perfil/judi-slot-terbaik-dan-terpercaya-no-1/ https://sns.gob.do/foro/perfil/situs-judi-slot-online-jackpot-2022/ https://animedrawn.com/forum/profile/bocoran-slot-gacor-hari-ini-terpercaya-2022/ https://animedrawn.com/forum/profile/bocoran-slot-gacor-hari-ini-terpercaya-2022/ https://animedrawn.com/forum/profile/slot-gacor-hari-ini-pragmatic-play-deposit-pulsa/ https://animedrawn.com/forum/profile/situs-judi-slot-terbaik-dan-terpercaya-no-1/ https://animedrawn.com/forum/profile/judi-slot-online-jackpot-terbesar/
Archives d'AirDrop ✔️ Nouvelles pour la finance
Image promotionnelle d'une tablette synchronisée avec un smartphone.

AirDrop, la fonctionnalité qui permet aux utilisateurs de Mac et d'iPhone de transférer sans fil des fichiers entre des appareils, fuit les e-mails et les numéros de téléphone des utilisateurs, et personne ne peut faire grand-chose pour l'arrêter, à part l'éteindre, ont déclaré les chercheurs.

AirDrop utilise le Wi-Fi et le Bluetooth Low Energy pour établir des connexions directes avec les appareils à proximité afin qu'ils puissent transmettre des images, des documents et d'autres éléments d'un appareil iOS ou macOS à un autre. Un mode permet uniquement aux contacts de se connecter, un second permet à n'importe qui de se connecter et le dernier n'autorise aucune connexion.

Une affaire de millisecondes

Pour déterminer si l'appareil d'un expéditeur potentiel doit se connecter à d'autres appareils à proximité, AirDrop diffuse des publicités Bluetooth contenant un hachage cryptographique partiel du numéro de téléphone et de l'adresse e-mail de l'expéditeur. Si l'un des hachages tronqués correspond à un numéro de téléphone ou une adresse e-mail dans le carnet d'adresses de l'appareil récepteur ou si l'appareil est configuré pour recevoir de tout le monde, les deux appareils s'engageront dans une poignée de main d'authentification mutuelle via Wi-Fi. Pendant la poignée de main, les appareils échangent les hachages SHA-256 complets des numéros de téléphone et des adresses e-mail des propriétaires.

Les hachages, bien sûr, ne peuvent pas être reconvertis dans le texte en clair qui les a générés, mais selon la quantité d'entropie ou d'aléatoire dans le texte en clair, ils sont souvent possibles à comprendre. Les pirates le font en effectuant une « attaque par force brute », qui lance un grand nombre de suppositions et attend celle qui génère le hachage recherché. Moins il y a d'entropie dans le texte en clair, plus il est facile de deviner ou de déchiffrer, car il y a moins de candidats possibles pour un attaquant à essayer.

La quantité d'entropie dans un numéro de téléphone est si minime que ce processus de craquage est trivial car il faut des millisecondes pour rechercher un hachage dans une base de données précalculée contenant les résultats de tous les numéros de téléphone possibles dans le monde. Bien que de nombreuses adresses e-mail aient plus d'entropie, elles peuvent également être craquées à l'aide des milliards d'adresses e-mail qui sont apparues dans les violations de bases de données au cours des 20 dernières années.

"Il s'agit d'une découverte importante car elle permet aux attaquants de mettre la main sur des informations plutôt personnelles d'utilisateurs d'Apple qui, dans des étapes ultérieures, peuvent être utilisées à mauvais escient pour des attaques de spear phishing, des escroqueries, etc. ou simplement pour être vendues", a déclaré Christian Weinert, l'un des chercheurs. à l'Université technique allemande de Darmstadt qui a découvert les vulnérabilités. « Qui ne veut pas envoyer directement un message, disons, à Donald Trump sur WhatsApp ? Tout ce dont les attaquants ont besoin, c'est d'un appareil compatible Wi-Fi à proximité de leur victime.

Fuite de l'expéditeur vs fuite du récepteur

Dans un papier présenté en août au USENIX Security Symposium, Weinert et des chercheurs du laboratoire SEEMOO de la TU Darmstadt ont conçu deux façons d'exploiter les vulnérabilités.

La méthode la plus simple et la plus puissante consiste pour un attaquant à simplement surveiller les demandes de découverte envoyées par d'autres appareils à proximité. Étant donné que l'appareil expéditeur divulgue toujours son propre numéro de téléphone haché et son adresse e-mail chaque fois qu'il recherche les récepteurs AirDrop disponibles, l'attaquant n'a qu'à attendre que les Mac à proximité ouvrent le partager le menu ou les appareils iOS à proximité pour ouvrir le feuille de partage. L'attaquant n'a pas besoin d'avoir le numéro de téléphone, l'adresse e-mail ou toute autre connaissance préalable de la cible.

Une deuxième méthode fonctionne en grande partie à l'envers. Un attaquant peut ouvrir un menu de partage ou une feuille de partage et voir si des appareils à proximité répondent avec leurs propres détails hachés. Cette technique n'est pas aussi puissante que la première car elle ne fonctionne que si le numéro de téléphone ou l'adresse e-mail de l'attaquant est déjà dans le carnet d'adresses du destinataire.

Néanmoins, l'attaque peut être utile lorsque l'attaquant est quelqu'un dont le numéro de téléphone ou l'adresse e-mail est bien connu de nombreuses personnes. Un responsable, par exemple, pourrait l'utiliser pour obtenir le numéro de téléphone ou l'adresse e-mail de tout employé dont les coordonnées du responsable sont stockées dans son carnet d'adresses.

Dans un e-mail, Weinert a écrit :

Ce que nous appelons « fuite de l'expéditeur » (c'est-à-dire que quelqu'un qui a l'intention de partager un fichier divulgue ses identifiants de contact hachés) pourrait être exploité en plantant des « bogues » (petits appareils compatibles Wi-Fi) dans des points chauds publics ou d'autres lieux d'intérêt.

Supposons que vous plantiez un tel insecte dans une salle de conférence ou un événement où des politiciens, des célébrités ou d'autres « VIP » se réunissent (par exemple, les Oscars). Dès que l'un d'eux ouvre le volet de partage sur un appareil Apple, vous pouvez obtenir au moins son numéro de téléphone portable privé.

Du point de vue d'un journaliste, un scénario pour ce que nous appelons « fuite de récepteur » : disons que vous avez été en contact par courrier électronique avec une célébrité pour couvrir une histoire. Dans le cas où la célébrité a donc enregistré votre adresse e-mail, vous pouvez facilement obtenir son numéro de téléphone portable privé lorsque vous êtes à proximité (par exemple, lors d'une interview). Dans ce cas, la célébrité [n'a] même pas besoin d'ouvrir le volet de partage ou de toucher son appareil !

Deux ans de silence d'Apple

Les chercheurs disent avoir informé Apple en privé de leurs découvertes en mai 2019. Un an et demi plus tard, ils ont présenté à Apple "PrivateDrop", un AirDrop retravaillé qu'ils ont développé et qui utilise intersection ensemble privé, une technique cryptographique qui permet à deux parties d'effectuer un processus de découverte de contacts sans divulguer les hachages vulnérables. La mise en œuvre de PrivateDrop est accessible au public sur GitHub.

"Notre implémentation prototype de PrivateDrop sur iOS/macOS montre que notre approche d'authentification mutuelle respectueuse de la confidentialité est suffisamment efficace pour préserver l'expérience utilisateur exemplaire d'AirDrop avec un délai d'authentification bien inférieur à une seconde", ont écrit les chercheurs dans un communiqué. poster résumer leur travail.

Depuis cette semaine, Apple n'a pas encore indiqué s'il envisageait d'adopter PrivateDrop ou d'employer un autre moyen pour réparer la fuite. Les représentants d'Apple n'ont pas répondu à un e-mail sollicitant des commentaires pour ce message.

Cela signifie que chaque fois que quelqu'un ouvre un panneau de partage dans macOS ou iOS, il diffuse des hachages qui, au minimum, divulguent leurs numéros de téléphone et probablement leurs adresses e-mail également. Et dans certains cas, le simple fait d'activer AirDrop peut suffire à divulguer ces détails.

Weinert a déclaré que, pour l'instant, le seul moyen d'empêcher la fuite est de définir la découverte AirDrop sur « personne » dans le menu des paramètres du système et de s'abstenir également d'ouvrir le volet de partage. Lorsque vous utilisez AirDrop à la maison ou dans d'autres paramètres familiers, ce conseil peut être exagéré. Il peut être plus judicieux d'utiliser un ordinateur lors d'une conférence ou d'un autre lieu public.