Apple पाल की AirDrop भेद्यता पास के लोगों के लिए उपयोगकर्ता के विवरण को लीक कर सकती है: शोधकर्ताओं


2021-04-26 14:01:59

एप्पल की एयरड्रॉप तकनीक उपयोगकर्ताओं के फोन नंबर और ईमेल पते लीक कर सकती है, शोधकर्ताओं ने कहा कि उन्होंने 2019 में Apple को कमजोरियों के लिए पहले से ही सतर्क कर दिया था। AirDrop एक Apple के स्वामित्व वाली वायरलेस तकनीक है जिसका उपयोग iOS पर फ़ोटो और वीडियो जैसे वायरलेस साझा करने के लिए किया जाता है। , आईपैड iPad OS और MOS OS डिवाइस और 2011 में पेश किए गए थे। यह वायरलेस कनेक्शन स्थापित करने और फ़ाइलों का आदान-प्रदान करने के लिए वाई-फाई और ब्लूटूथ दोनों का उपयोग करता है। हालांकि, AirDrop द्वारा उपयोग किए जाने वाले पारस्परिक प्रमाणीकरण तंत्र का उपयोग उपयोगकर्ता के फोन नंबर और ईमेल पते को चोरी करने के लिए किया जा सकता है।

जर्मनी के तकनीकी विश्वविद्यालय डर्मस्टैड के शोधकर्ताओं ने एक भेद्यता की खोज की है जो किसी को भी प्रभावित कर सकती है। सेब जो उपयोगकर्ता फ़ाइलों का उपयोग करके साझा करते हैं एयरड्रॉप। शोधकर्ताओं ने पाया कि समस्या एक हैश फ़ंक्शन के उपयोग में है जो खोज प्रक्रिया के दौरान फोन नंबर और ईमेल पते का आदान-प्रदान करती है।

यद्यपि यह काफी प्रासंगिक है, उपयोगकर्ता केवल विशिष्ट परिस्थितियों से प्रभावित होते हैं। एक बात के लिए, जो कोई भी हर कोई अपनी सेटिंग प्राप्त कर रहा है, वह जोखिम में है। शोधकर्ताओं ने कहा कि इसके अलावा, अगर आपकी सेटिंग बस या एफ या कॉन्टैक्ट्स पर सेट है, भले ही आपकी शेयरशीट एयरड्रॉप (जहां आपका डिवाइस कनेक्ट करने के लिए अन्य डिवाइस की तलाश में है) के साथ खुला है, शोधकर्ताओं के अनुसार, एक जोखिम है।

Apple पॉल नोवल SHA-256 हैश फ़ंक्शन का उपयोग करके AirDrop तक पहुंचने वाले उपयोगकर्ता के फोन नंबर और ईमेल पते को एन्क्रिप्ट करता है। हालांकि, हैशर्स को शुरुआती पाठकर्ताओं द्वारा क्लस्टर्ड टेक्स्ट में परिवर्तित नहीं किया जा सकता है, शोधकर्ताओं ने पाया। एक हमलावर जिसके पास वाई-फाई-सक्षम डिवाइस है और निकट शारीरिक संपर्क में है, एन्क्रिप्शन को डिक्रिप्ट करने की प्रक्रिया शुरू कर सकता है।

अनुसंधान समूह, जिसमें विश्वविद्यालय के सुरक्षित मोबाइल नेटवर्किंग (SEMU) प्रयोगशाला और क्रिप्टोग्राफी और गोपनीयता इंजीनियरिंग समूह (ENCRYPTO) के पांच विशेषज्ञ शामिल हैं, ने कमजोरियों के बारे में विस्तार से बताया। कागज़

कागज में दिए गए विवरण के अनुसार, त्रुटियों का दोहन करने के दो विशिष्ट तरीके हैं। हमलावर, एक मामले में, एक बार निकटता में उपयोगकर्ता विवरण तक पहुंच प्राप्त कर सकता है और उस पर एक शेयर शीट या शेयर मेनू खोल सकता है आई – फ़ोन, ipad, या मैक। हालांकि, दूसरे मामले में, हमलावर अपने उपकरणों पर एक शेयरशीट या शेयर मेनू खोल सकता है और फिर प्रतिक्रिया देने वाले रिसीवर के साथ पारस्परिक प्रमाणीकरण करने के लिए पास के डिवाइस की खोज कर सकता है।

दूसरा मामला केवल तभी मान्य होगा जब उपयोगकर्ता ने AirDrop पर प्रत्येक को अपनी डिवाइस खोज सेट की हो। यह पहला मामला जितना विस्तृत नहीं है, जहां किसी व्यक्ति द्वारा किसी पाल डिवाइस पर फ़ाइल साझा करने की कोशिश की जा सकती है।

त्रुटियों का विस्तार करने के अलावा, शोधकर्ताओं ने “प्राइवेट ड्रॉप्रॉप” नामक एक समाधान विकसित किया है जो संभावित हैश मूल्यों का आदान-प्रदान किए बिना दो उपयोगकर्ताओं के बीच साझा करने की प्रक्रिया को करने के लिए क्रिप्टोग्राफिक निजी सेट चौराहे प्रोटोकॉल का उपयोग करता है।

शोधकर्ता भी बयान निजी तौर पर उन्होंने मई 2019 में एयरड्रॉप 2019 पॉल के दोष की सूचना दी, हालांकि कंपनी ने इस मुद्दे को स्वीकार नहीं किया और जवाब दिया।

AirDrop 1.5 बिलियन से अधिक Apple Plus उपकरणों पर प्रीलोडेड सेवा के रूप में मौजूद है, जो सभी शोधकर्ताओं द्वारा खोजे गए दोष के कारण कथित रूप से कमजोर हैं। ऐप्पल ने टिप्पणी के अनुरोध के जवाब का जवाब नहीं दिया कि क्या वह कहानी को दर्ज करते समय समस्या को ठीक कर रहा था।

यह पहली बार नहीं है जब एयरड्रॉप को सुरक्षा समस्या का सामना करना पड़ा है। सेवा अगस्त 2019 में थी समस्या पाई गई जो हमलावरों को फोन की स्थिति, बैटरी की जानकारी, वाई-फाई स्थिति, बफर उपलब्धता, और ओएस संस्करण के बारे में जानकारी का उपयोग करने की अनुमति दे सकता है। उस समय, AirDrop को फ़ोन नंबर का आंशिक SHA256 हैश भेजने के लिए भी दिखाया गया था, Apple खाता, और ईमेल पते। कंपनी ने टिप्पणी के अनुरोध का जवाब नहीं दिया।

यह कहा गया है, जब तक कि मुद्दों को आधिकारिक अपडेट नहीं मिलते हैं, तब तक ऐप्पल पाल उपयोगकर्ता आसानी से हमलावर द्वारा पकड़े जाने से बच सकते हैं। इसे बंद करें जब वे सुविधा का उपयोग नहीं कर रहे हैं।


इस हफ्ते हम Apple Pl – iPad Pro, iMac, Apple Pull TV 4K और Airtag – सब कुछ में गोता लगाने जा रहे हैं। कक्षा का, गैजेट्स 360 पॉडकास्ट। ऑर्बिटल पर उपलब्ध है Apple पाल पॉडकास्ट, Google पॉडकास्ट, Spotify, और जहाँ भी आपको अपना पॉडकास्ट मिलता है।



Source link

Leave a Reply