Even snel wat uitwisselen tussen je Apple devices wel veilig?? 

Discussie op HN.

Dit wordt zo'n draadje met 'link-dropping'?
Te beginnen met een vraag die blijkbaar een stelling is, want een dubbel vraagteken.
Maar geen enkele duiding; de MF-lezer moet het dan maar zelf uitzoeken?
Ik vind het niet sterk, dit soort draadjes zo te openen.

Goed, ik heb het artikel gelezen, en niet alles is me duidelijk. De 'attacker' heeft een 'Wi-Fi-capable device' nodig, en iemand die net z'n sharing dialoog venster open heeft. En dan? De 'attacker' moet dan ook nog op dat moment een 'brute-force attack' uitvoeren. Al met al schiet dat niet op.
De 'attacker' krijgt dan de beschikking over een 06-nummer en een mailadres, that's it. Het hoort niet, maar hoe vreselijk is dat?

Puk1980, wat wordt er op HN over geschreven?

@Flix: Op dit moment zo'n 93 reacties. Ik zal er eentje voor je uitpikken, hoef je zelf de link niet te openen.

The post that they then linked to is about how, by hashing random phone numbers, you can effectively de-anonymise users of popular messaging apps.

So you'd need to be in physical proximity to the person, and what you're getting is details like your phone number which aren't especially private anyway (they literally need to be given to people to be of any use). It's far from the dragnet-level issue facing Signal & Whatsapp and others.

I don't know, but that doesn't seem like an especially serious issue to me. It seems just like a research group trying to make some hype for themselves.

Kortom: wellicht categorie "storm" en "glas water".

@Flix: Op dit moment zo'n 93 reacties. Ik zal er eentje voor je uitpikken, hoef je zelf de link niet te openen.

Da's nou precies wat ik zocht!

Kortom: wellicht categorie "storm" en "glas water".

Dat vermoeden kwam ook al bij mij op.


En, wat denkt Spooter, als TS ervan?

Ik geef toe dat het technisch is, maar het is zeker iets wat Apple's aandacht zou moeten hebben.

Om je meer erin te verdiepen moet je alleen iets verder in het artikel duiken en deze presentatie erover lezen:

https://www.usenix.org/system/files/sec21fall-heinrich.pdf

Ja weer een link, maar eea is pas te begrijpen als je het leest met uitleg erbij...

Ik wil me er best in verdiepen, maar er lezen hier ook anderen mee, die misschien een soort van simpel antwoord willen hebben op de titelvraag van dit draadje: is AirDrop veilig of onveilig?

Ok, de conclusie (is wel copyrightschending denk ik, maar goed ik heb de bron opgegeven)

In this paper, we solved the problem of privacy-preserving authentication between offline peers, based on the notion of being mutual contacts. We demonstrated the practicability of our approach via a comprehensive experimental perfor- mance evaluation, which attests negligible overhead under real-world conditions. We motivated our work with two dis- tinct design flaws in AirDrop that allow attackers to learn the phone numbers and email addresses of both sender and receiver devices. However, our proposed protocol can sup- port other applications, even outside of Apple’s ecosystem. For example, Google recently launched a similar platform called “Nearby” for Android [41, 86], where device visibility can be restricted to the user’s contacts and thus would benefit from our protocol for privacy-preserving authentication.

Our proposed solution PrivateDrop prevents users from disclosing personal information to non-contacts. Still, users remain trackable via their account-specific UUID in the TLS certificate, which gives room for future work. Nevertheless, our results demonstrate that PSI with malicious security is ready for practical deployment, even in offline scenarios be- tween resource-constrained mobile devices. We would be glad to see our open-source implementation being adopted in end-user systems such as AirDrop.

De onderzoeker heeft al een tijd geleden contact opgenomen met Apple (ook over een eventuele oplossing: lees de paper), maar tot dusver zonder resultaat.

Responsible Disclosure
We informed the Apple Product Security team about our find- ings (follow-up ID 705937802): We disclosed the sender identifier leakage (cf. § 3.3) in May 2019 and the receiver identifier leakage (cf. § 3.4) as well as our proposed PSI- based protocol (cf. § 4) in October 2020. Apple has not yet commented if they plan to address these AirDrop issues.
Availability
We open-source our PrivateDrop implementation [45] and the code to reproduce our figures [44] as part of the Open Wireless Link project [91].

Nog een link (speciaal voor Flix )

https://arstechnica.com/gadgets/2021/04/apples-airdrop-leaks-users-pii-and-theres-not-much-they-can-do-about-it/