Una falla en iPhone con el servicio de transferencia de archivos Air Drop de Apple hace visible el número de teléfono al enviar un código de identificación, lo que hace vulnerable la seguridad del celular ante la posible amenaza de hackers.
Según un informe publicado por la empresa de seguridad Hexway, los iPhone presentan una serie de vulnerabilidades en la protección de datos personales a la hora de emplear las funciones de Bluetooth. Han revelado que a la hora de usar Air Drop para compartir documentos, contactos o imágenes, el celular emite el algoritmo SHA256 del hash del número de teléfono a todos los dispositivos cercanos al pulsar "compartir".
El servicio de Air Drop es supuestamente anónimo y seguro, pero resulta que esta función es menos confidencial de lo que parece, como explica la compañía, ya que en el hash que envía de manera automática es un código encriptado del celular que, según los especialistas, aporta los datos suficientes para descifrar el número de teléfono.
La manera en la que un hacker podría hacerse con un número de teléfono es a través de la descarga de un script especial con una base de datos de SHA256 (número_teléfono):número_teléfono, situarse en un lugar público como un aeropuerto, un metro o una cafetería, y esperar a que los usuarios de alrededor le den al botón de compartir.
El hacker luego podría almacenar todos los hash en la base de datos y extraer los números de teléfono. Si llegara a contactar con los usuarios a través de iMessage, podría obtener también el nombre.
Otra función que poseen los iPhone es poder compartir la contraseña del WiFi. De esta forma, los usuarios pueden solicitar, a través de Bluetooth, la contraseña de una de las redes de la lista que detecta el móvil.
Para que el usuario receptor de la solicitud pueda identificar cuál es el dispositivo que envía la petición, el terminal solicitante emite el hash SHA256, no solo del celular, si no también el Apple ID y el correo electrónico vinculado (aunque sólo tres bytes de información).
La empresa de seguridad reconoce que esta falla, presente en iOS desde la versión 10.3.1, es "más una característica del sistema que una vulnerabilidad", y que para evitarlo hay que desactivar el Bluetooth.
RL