Apple, AirDrop’un Çin’in kullanmayı öğrendiği bir güvenlik açığına sahip olduğu yönündeki uyarıları görmezden geldi. Çin, insan hakları ve bireysel mahremiyet konusunda tam olarak standart taşıyıcısı değil, bu nedenle AirDrop kullanıcılarının iletişim bilgilerini ele geçirebilmek endişe verici. Apple yıllar önce hizmetinin savunmasız olduğu konusunda uyarılmıştı ancak bu konuda hiçbir şey yapmadı.
Apple AirDrop riskleri için kayıtsız kaldı
2019’da Almanya’nın Darmstadt Teknik Üniversitesi’ndeki araştırmacılar, Apple’ın AirDrop kablosuz paylaşım işlevinin, bir saldırganın Wi-Fi özellikli bir cihaz kullanarak ve bir cihazın yakınında bulunarak AirDrop kullanıcılarının telefon numaralarını ve e-posta adreslerini hacklemesine olanak tanıyan güvenlik açıkları içerdiğini keşfetti. Daha sonra iş sadece bir iOS veya macOS cihazındaki paylaşım bölmesini açıp bu bilgiyi almak meselesi haline geliyor. Araştırmacılar o zamanlar Apple’ı bu güvenlik açığı konusunda uyarmıştı ancak şirket hiçbir şey yapmadı. İki yıl sonra aynı grup soruna bir çözüm önerdi ancak Apple yine kusuru düzeltmek için hiçbir adım atmadı.
Apple’ın eylemsizliğinin sonuçları artık netleşti ya da en azından ilk kez kamuoyuna açıklandı. Pekin yargı yetkilileri yakın zamanda polisin, Apple’ın yardımıyla Pekin metrosunda yoldan geçenlere “uygunsuz bilgi” göndermek için bu hizmeti kullanan kişileri tespit edebildiğini duyurdu.
AirDrop’un çalışma şekliyle ilgili bazı bilgiler, daha sonra ne olduğunu anlamak açısından faydalı. AirDrop, dosyaları yakındaki diğer Apple kullanıcılarıyla doğrudan ancak kablosuz olarak paylaşmanıza olanak tanıyan tescilli bir Apple protokolü. AirDrop, hızlı, basit, yerel kablosuz paylaşım için Bluetooth ve eşler arası Wi-Fi kombinasyonunu kullanarak her iki kullanıcı da çevrimdışıyken bile çalışıyor.
Kullanıcılar AirDrop’un “Yalnızca kişiler” modu aracılığıyla kendilerini bu güvenlik açığına açıyor. Burada AirDrop’a yalnızca zaten kendi kişi listenizde bulunan kullanıcılardan gelen mesajları kabul etmesini söylersiniz. Darmstadt araştırmacıları, bu iki kişinin birbirini bir kişi olarak kabul edip etmediğini belirleyen AirDrop bağlantısının iki ucunun, iletişim verilerinin gizliliğini gerektiği gibi korumayan ağ paketleri kullandığını buldu.
Wangshendongjian Teknolojisi, cep telefonu numaraları ve e-posta hesaplarından oluşan bir gökkuşağı tablosu oluşturarak gönderenin cihaz adı, e-posta adresi ve cep telefonu numarasıyla ilgili karma değerlerini aşmayı başardı.