Una falla di AirDrop può esporre dati personali a malintenzionati nelle vicinanze

Si torna a parlare di sicurezza e sistemi Apple, purtroppo non in modo positivo. Nelle ultime ore ha fatto notizia la pubblicazione dei dettagli riguardanti un bug di AirDrop, il metodo di condivisione dati da e verso dispositivi iOS/iPadOS e macOS. Semplice e rapido nell'uso, ma con un lato oscuro per il quale ci si dovrà attendere un correttivo a breve da Cupertino.

A riportare la vulnerabilità è stata l'università tedesca di Darmstadt, che ha analizzato i dettagli tecnici di AirDrop. Nell'impostazione predefinita, il sistema funziona se gli utenti del dispositivo mittente e di quello ricevente sono nei reciproci elenchi contatti, con uno incrocio di codici hash contenenti nome, numero di telefono e indirizzo email: se corrispondono, lo scambio di dati procederà come previsto. Questi hash non presenterebbero tuttavia un livello di codifica sufficiente a  proteggere i dati personali inclusi, rendendoli soggetti ad esposizioni tramite varie tecniche, tra cui le comuni "brute-force". La trasmissione dell'hash inizia non appena l'utente apre il pannello di condivisione; da lì, è sufficiente che nelle vicinanze ci sia un malintenzionato dotato di un dispositivo dotato di connettività Wi-Fi e gli strumenti giusti per intercettare il traffico dati.

Il pericolo è relativamente basso, dato che richiede comunque un'azione iniziale da parte dell'utente e i vari elementi devono essere in prossimità tra loro – per fortuna i criminali informatici non sono dietro ogni angolo. La facilità nell'ottenimento dei dati, così come l'impossibilità di accertare il succitato dispositivo Wi-Fi malevole (che può essere molto più piccolo di un portatile e quindi passare pressoché inosservato), rende necessario un intervento da parte di Apple. Anche perché, secondo i ricercatori, la buona notizia è l'altrettanta facilità di risoluzione della falla, con l'implementazione di un protocollo di verifica dati già elaborato e testato sul campo, denominato "PrivateDrop", che prevede una verifica sicura e non utilizza hash identificativi, con minime penalizzazioni nelle tempistiche dello scambio AirDrop.

La vulnerabilità e il metodo risolutivo sono stati riportati privatamente ad Apple già a maggio 2019, ma senza ricevere risposta né vedere un bugfix arrivare nei successivi aggiornamenti software, motivi per cui da Darmstadt è stata presa ora la decisione di portare le parti principali del report in pubblico, insieme al codice del protocollo risolutivo di esempio "PrivateDrop". La palla passerà ora dall'altra parte dell'oceano, con la mela che dovrà correre ai ripari: posto che un fix sia già stato elaborato internamente, i tempi tecnici per l'inserimento in iOS/iPadOS 14.5, il cui rilascio finale arriverà la prossima settimana, non ci sono e questo renderà necessario un successivo aggiornamento 14.5.1 così come un 12.5.3 per i dispositivi più anziani essendo anch'essi vulnerabili. Nel frattempo, coloro che volessero proteggersi maggiormente possono farlo disabilitando in toto AirDrop nelle impostazioni.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.