actualidad
Aseguran que un fallo de Apple expone tu número de teléfono
Air Drop, que permite enviar fotos, videos y documentos entre diferentes dispositivos, tendría un fallo en los iPhone que expone los números de teléfono. Mirá.
Una empresa de seguridad informática reveló hace pocas horas una grave falla en los teléfonos iPhone. La app de transferencia de archivos Air Drop es la responsable de dejar al descubierto el número de teléfono de los usuarios al enviar un código de identificación personal y único, lo que hace vulnerable la seguridad del dispositivo ante la posible amenaza de hackers.
Según un informe dado a conocer por la empresa de seguridad Hexway, los iPhone tienen una serie de vulnerabilidades en la protección de datos personales a la hora de emplear las funciones de Bluetooth que afectan a servicios como Air Drop. Esta plataforma permite compartir y recibir contenido, como, por ejemplo, fotos y documentos, con otros dispositivos de Apple.
Pero al presionar la opción de compartir, Air Drop emite el algoritmo SHA256 del 'hash' del número de teléfono a todos los dispositivos que se encuentren cerca. Si bien este código, que se emite de manera automática, está encriptado en el dispositivo, los especialistas aseguran que aporta los datos suficientes para descifrar el número de teléfono.
La manera en la que un hacker podría robar un número es a través de la descarga de un script especial con una base de datos de SHA256(número_teléfono):número_teléfono, situarse en un lugar público y esperar a que los usuarios de alrededor le den al botón de compartir.
El hacker luego podría almacenar todos los 'hash' en la base de datos y extraer los números de teléfono. Si llegara a contactar con los usuarios a través de iMessage, podría obtener también el nombre.
Otra función que poseen los iPhone es poder compartir la contraseña del WiFi. De esta forma, los usuarios pueden solicitar, a través de Bluetooth, la contraseña de una de las redes de la lista que detecta el móvil.
Para que el usuario receptor de la solicitud pueda identificar cuál es el dispositivo que envía la petición, el dispositivo solicitante emite el 'hash' SHA256, no solo del teléfono móvil, si no también el Apple ID y el correo electrónico vinculado (aunque solo 3 bytes de información).
La empresa de seguridad reconoce que este fallo, presente en iOS desde la versión 10.3.1 -la actual es 12.4- es "más una caracterítica del sistema que una vulnerabilidad", y que para evitarlo hay que desactivar el Bluetooth.
