AirDrop est une fonctionnalité des appareils iOS et macOS qui vous permet de partager en toute sécurité et de manière pratique des fichiers, des photos, des films, etc. pas besoin de câbles.
AirDrop comprend trois modes : Désactivé, Contacts uniquement, Tous. Par défaut, il est défini sur Contacts uniquement (ce qui signifie qu'ils ne peuvent vous utiliser qu'avec vous et que vous ne pouvez l'utiliser qu'avec ceux qui sont déjà dans votre application Contacts).
De plus, Apple a renforcé la sécurité AirDrop dans les versions récentes des systèmes d'exploitation, permettant uniquement aux appareils qui sont dans l'orientation indiquée par l'expéditeur d'apparaître sur le réseau AirDrop (de sorte qu'un appareil qui est derrière n'apparaît pas dans le réseau AirDrop jusqu'à ce que le l'utilisateur ne l'aborde pas).
Des chercheurs ont montré que grâce à AirDrop, il est possible d'obtenir le numéro de téléphone et l'e-mail d'inconnus.
Pour que les pirates puissent voler ces informations privées, ils devraient effectuer une attaque par force brute ou une autre "technique simple". Ils ne peuvent le faire que lorsqu'ils sont (physiquement) proches de l'utilisateur avec l'avantage du partage ouvert sur un appareil Apple compatible AirDrop.
Bien qu'il s'agisse de conditions très spécifiques, des chercheurs de l'Université Technische de Darmstadt estiment que cette vulnérabilité représente une "grave violation de la vie privée".
"Pour déterminer si l'autre utilisateur est un contact", écrivent les chercheurs, "AirDrop utilise un mécanisme d'authentification mutuelle qui compare le numéro de téléphone et l'adresse e-mail d'un utilisateur avec ceux de l'application Contacts de l'autre utilisateur".
Bien qu'Apple crypte ces informations, les chercheurs affirment que la technique de "hachage" d'Apple "ne permet pas d'obtenir un système de découverte qui protège la confidentialité, car les hachages peuvent être rapidement inversés à l'aide de techniques simples telles que les attaques par force brute".
Les chercheurs ont découvert ce bogue dans AirDrop en 2019. Bien qu'ils l'aient signalé à Apple, ils n'ont jamais reçu de réponse.