Le problème, selon les chercheurs, tient à deux problèmes. AirDrop propose une option «Contacts uniquement» dans laquelle les appareils Apple doivent demander des données personnelles à tous les appareils à portée. Élaborant à ce sujet, les chercheurs ont noté: «Les données sensibles étant généralement exclusivement partagées avec des personnes que les utilisateurs connaissent déjà, AirDrop n’affiche que les appareils récepteurs du carnet d’adresses Contacts par défaut. Pour déterminer si l’autre partie est un contact, AirDrop utilise un mécanisme d’authentification mutuelle qui compare le numéro de téléphone et l’adresse e-mail d’un utilisateur avec les entrées du carnet d’adresses de l’autre utilisateur. »
L’autre problème est que même si les données partagées sur AirDrop sont cryptées, les recherches affirment qu’Apple dispose d’un «mécanisme de hachage relativement faible». Selon les chercheurs, il est possible d’apprendre les numéros de téléphone et les adresses e-mail des utilisateurs d’AirDrop – même en tant que parfait inconnu. «Tout ce dont ils ont besoin, c’est d’un appareil compatible Wi-Fi et d’une proximité physique avec une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS.»
Le problème serait dans l’utilisation par Apple de «fonctions de hachage pour« masquer »les numéros de téléphone et adresses e-mail échangés pendant le processus de découverte.»
Le chercheur a déclaré avoir également essayé de proposer une solution au problème à Apple, mais la société ne l’avait pas résolu.
//-- BEGIN Chartbeat CODE -- if(typeof TimesGDPR != 'undefined' && typeof TimesGDPR.common.consentModule.gdprCallback == 'function'){ TimesGDPR.common.consentModule.gdprCallback(function(dataObj){ if((typeof dataObj != 'undefined') && !dataObj.isEUuser){ (function(){ function loadChartbeat() { window._sf_endpt=(new Date()).getTime(); var e = document.createElement('script'); e.setAttribute('language', 'javascript'); e.setAttribute('type', 'text/javascript'); e.setAttribute('src', (("https:" == document.location.protocol) ? "https://s3.amazonaws.com/" : "http://") + "static.chartbeat.com/js/chartbeat.js"); try{document.body.appendChild(e);}catch(e){} } $( window ).load(function() {loadChartbeat();}); })(); } }); }
//--END Chartbeat CODE -- //-- Facebook Pixel Code -- !function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function() {n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)} ;if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','https://connect.facebook.net/en_US/fbevents.js'); fbq('init', '1181341651961954'); // Insert your pixel ID here. fbq('track', 'PageView'); //-- DO NOT MODIFY --> //-- End Facebook Pixel Code -->
.