Анонимная группа хакеров hexway обнаружила способ узнать номер телефона и другие данные пользователя iPhone тайком от него. Они утверждают, что хотели проверить слоган «Что происходит на вашем iPhone, остаётся на вашем iPhone», который Apple использует, рассказывая об исключительной защищённости своих смартфонов.
Хакеры перехватывали пакеты данных, которые смартфоны Apple отправляют при задействовании Bluetooth и других функций. Выяснилось, что каждый раз, когда пользователь нажимает кнопку «Поделиться», запускается Airdrop, который передаёт пакеты с номером телефона, зашифрованным алгоритмом SHA-256. Это необходимо для того, чтобы потенциальный получатель файла мог проверить, входит ли отправитель в список его контактов.
Злоумышленник может прийти в публичное место и запустить на ноутбуке или планшете скрипт, который позволит получить зашифрованные номера телефонов людей, решивших поделиться с кем-нибудь файлами. Собранные данные можно расшифровать, а затем по номеру телефона узнать имя и фамилию человека (например, с помощью TrueCaller или другими способами).
Хакер может добыть и другие данные, которые стоит держать в секрете. Например, если жертва запустит функцию «Поделиться паролем Wi-Fi», помимо зашифрованного номера телефона получится перехватить логин Apple ID и адрес электронной почты. Но это гораздо менее распространённый случай, поскольку большая часть пользователей крайне редко делятся паролем от интернета.
Описанные проблемы — это не уязвимости, а особенности работы экосистемы Apple, поэтому они присутствуют во всех версиях iOS, в том числе самых свежих бета-сборках iOS 13. Устранит ли их Apple, неизвестно.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
