A hét támadása: Airdrop nyomkövetés
Matthew Green elemezte a kínai posztot, valamint a németországi Technische Universität Darmstadt akadémikusai által 2019-ben közzétett AirDrop-kutatásokat, és arra a következtetésre jutott, hogy a protokoll szivárog, és a kínai intézet állításai teljesen hihetőek – ha egy támadó kitalálhatja az Apple ID-t vagy a telefonszámot.
A sebezhetőség kihasználásának nagy kérdése az, hogy össze lehet-e állítani a jelölt Apple ID e-mailek és telefonszámok teljes listáját – írta Green, a Johns Hopkins Egyetem kriptográfusa és professzora. I
A kínai megfigyelés mértéke azt jelenti, hogy a jelöltek adatainak összegyűjtése nem lenne túlságosan nehéz. Green bejegyzése részletezi, hogy a szereplők milyen módon tudnának listákat készíteni a célpontok hitelesítő adataiból. Az AirDrop-felhasználók tehát veszélyben vannak, akár Kínában, akár bárhol máshol. Green a védelem egyik módjaként egy bizarr, nagyentrópiájú Apple ID-t javasol, amelyet senki sem fog kitalálni. Az Apple csökkenthetné a naplózás használatát is – írta, mielőtt azt javasolta, hogy Cupertino könnyen megoldhatná ezt a problémát a Private Set Intersection nevű kriptográfiai technika változatának használatával.
Ez azonban nem feltétlenül egyszerű megoldás, mind technikai, mind politikai okokból – jegyezte meg. Érdemes megjegyezni, hogy az Apple szinte biztosan tudta a kezdetektől fogva, hogy a protokolljuk sebezhető ezekkel a támadásokkal szemben – de még ha nem is tudták, a darmstadtiak már 2019 májusában szóltak nekik ezekről a problémákról. Most 2024-et írunk, és a kínai hatóságok kihasználják ezt. Tehát nyilvánvalóan nem volt egyszerű a javítás.”
Green azt találgatta, hogy még ha az Apple meg is tudja javítani a problémát, nem biztos, hogy vállalni akarja a javításokat, tekintve, hogy bevételeinek mintegy 20 százalékát Kínában szerzi. Ez a bevétel már most is veszélyben van: 2023-ban Peking lebeszélte az iPhone használatáról a kormányzati alkalmazottakat, és hazafiasabb választásként Kínában gyártott telefonok vásárlását javasolta.
2023 júniusában Kína tipikusan bombasztikus bejelentést tett: a rövid távú ad hoc hálózatok üzemeltetőinek biztosítaniuk kell, hogy azok a megfelelő szocialista elvek szerint működjenek, és minden felhasználónak fel kell fednie valós személyazonosságát.
A bejelentés olyan technológiákat célzott meg, mint az okostelefonokról üzemeltetett Wi-Fi hotspotok és az Apple AirDrop, mivel mindkettő lehetővé teszi a peer-to-peer hálózatok működését. Az AirDrop lehetővé teszi a felhasználók számára, hogy ismeretlenektől bejövő fájlokat fogadjanak el, és a hírek szerint Kína hosszú és szigorú COVID-19 zárlatai alatt kormányellenes anyagok megosztására használták.
Kína úgy tudja, hogy az Apple az AirDrop peer-to-peer linkjeit nem hibának, hanem funkciónak tekinti. A kínai netezők azonban tudják, hogy a nemzetbiztonság nevében mindig figyelik őket, és sokan örömmel fogadják ezt. Éppen ezért a kínai hatóságok a múlt héten elismerték, hogy az AirDrop használatát problémásnak tartják, miután a rendőrség korábban nem megfelelő anyagokat talált a pekingi metróban, amelyeket a protokoll segítségével osztottak meg.