Sekelompok peneliti yang berbasis di Jerman di Universitas Teknik Darmstadt, yang pertama kali menemukan kelemahan tersebut pada tahun 2019, mengatakan kepada berita CNN pada hari Kamis bahwa mereka mendapat konfirmasi bahwa Apple telah menerima laporan asli mereka pada saat itu, tetapi perusahaan tersebut tampaknya tidak mengambil tindakan atas temuan tersebut. Kelompok yang sama menerbitkan usulan perbaikan untuk masalah ini pada tahun 2021, tetapi Apple tampaknya belum menerapkannya, kata para peneliti.
Pihak berwenang Tiongkok mengklaim mereka mengeksploitasi kerentanan dengan mengumpulkan beberapa informasi identifikasi dasar yang harus ditransfer antara dua perangkat Apple saat mereka menggunakan AirDrop – data termasuk nama perangkat, alamat email, dan nomor telepon.
Biasanya, informasi ini diacak demi alasan privasi. Namun, menurut analisis terpisah pada penelitian Darmstadt pada tahun 2021 yang dilakukan oleh perusahaan keamanan siber Sophos yang berbasis di Inggris, Apple tampaknya tidak mengambil tindakan pencegahan ekstra dengan menambahkan data palsu ke dalam campuran untuk lebih mengacak hasilnya – sebuah proses yang dikenal sebagai “salting. ”
Kegagalan nyata ini memungkinkan perusahaan teknologi Tiongkok untuk lebih mudah merekayasa balik informasi asli dari data terenkripsi, yang tampaknya merupakan “semacam kesalahan amatir” yang dilakukan Apple, kata Sascha Meinrath, ketua Palmer di bidang telekomunikasi di Penn State University. . “Hal ini tentu memerlukan penjelasan dari Apple karena hal ini akan menunjukkan kelemahan serius dalam teknologi mereka.”
Meskipun saluran komunikasi perangkat-ke-perangkat AirDrop biasanya dilindungi dari pengintaian pihak ketiga oleh lapisan keamanannya sendiri, hal itu tidak akan melindungi seseorang yang mungkin telah tertipu untuk terhubung dengan orang asing, mungkin dengan mengetuk perangkat bernama palsu di daftar kontak atau dengan tanpa berpikir panjang menerima permintaan koneksi yang tidak diminta. Langkah ini diperlukan agar pengirim dapat diidentifikasi, menurut pakar keamanan.
Setelah informasi pengidentifikasi perangkat dipertukarkan dan diperoleh oleh pihak ketiga yang tidak berwenang, kurangnya pengasinan akan memudahkan untuk menebak kode yang benar yang akan menguraikan data, kata para ahli.
Perusahaan teknologi Tiongkok, Wangshendongjian Technology, yang mengklaim telah mengeksploitasi AirDrop tampaknya telah menggunakan beberapa teknik yang sama yang pertama kali diidentifikasi oleh para peneliti Darmstadt pada tahun 2019, kata Alexander Heinrich, salah satu peneliti Jerman.
“Sejauh yang kami tahu, Apple belum mengatasi masalah ini sejauh ini,” kata Heinrich kepada berita CNN.
Kenn White, seorang peneliti keamanan independen yang berspesialisasi dalam forensik digital, setuju bahwa apa yang diungkapkan pihak berwenang Tiongkok tentang peretasan mereka konsisten dengan apa yang ditemukan oleh para peneliti Jerman.
AirDrop
“Saat saya membaca, saya berpendapat bahwa ini hampir pasti menggunakan teknik yang sama yang diterbitkan oleh Heinrich dkk,” kata White. “Lebih dari tiga tahun dan cacat desain ini tampaknya belum diatasi.”
