Uma empresa chinesa de tecnologia conseguiu quebrar as camadas de segurança do AirDrop, uma função de compartilhamento de arquivos entre dispositivos da Apple, para ajudar a polícia a identificar usuários que utilizaram o recurso para enviar “informações inapropriadas” a pessoas transitando no metrô de Pequim, segundo autoridades locais.

A Wangshendongjian Technology, empresa que ajudou a polícia a localizar usuários do AirDrop, teria explorado uma vulnerabilidade descoberta por pesquisadores alemães em 2019, mas que não obteve resposta da equipe de segurança da Apple.

Há cinco anos, pesquisadores da Universidade Técnica de Darmstadt, na Alemanha, descobriram que o AirDrop tinha vulnerabilidades que permitiam a interceptação de números de telefone e endereços de e-mail dos usuários do iOS ou macOS nas proximidades utilizando apenas um dispositivo compatível com Wi-Fi.

Os pesquisadores alertaram a Apple, mas a empresa não respondeu ao chamado. Dois anos depois, o mesmo grupo propôs uma correção para o problema, mas de acordo com os especialistas, não houve qualquer movimento da fabricante.

A brecha de segurança voltou aos holofotes na última semana após a divulgação do caso em Pequim. De acordo com o departamento de justiça local, a Wangshendongjian Technology conseguiu identificar os números de telefone e endereços de e-mail dos remetentes de mensagens “incômodas”, segundo as autoridades, como parte de uma investigação.

O AirDrop compartilha arquivos utilizando Wi-Fi e Bluetooth. Um dispositivo emite um sinal infravermelho para detectar aparelhos “visíveis” — isto é, disponíveis para receber um arquivo — ao redor, e quando um deles é selecionado, ambos os pontos trocam credenciais para estabelecer uma conexão de ponto a ponto para transferir o arquivo.

Conforme explicado pelos pesquisadores que descobriram a falha de segurança no AirDrop em 2019, o problema está na falta de uma camada de segurança adicional na descoberta de dispositivos visíveis para receber um arquivo. A falha ocorre quando as vítimas ativam a opção de visibilidade para "Apenas Contatos".

Os pesquisadores afirmam que a empresa não elaborou mecanismos que protejam a validação das credenciais contra ataques de força bruta, que é a metodologia utilizada para explorar a vulnerabilidade do AirDrop.

Embora as autoridades chinesas tenham retratado a exploração da brecha de segurança como uma técnica de aplicação da lei, defensores da liberdade e privacidade de usuários na internet estão pedindo à Apple que aborde a questão o mais rápido possível.

“A resposta da Apple a essa situação é crucial”, disse Benjamin Ismail, diretor de campanha e defesa do Greatfire.org, uma organização anônima que monitora eventuais casos de censura na internet na China. “Eles devem abordar as alegações e trabalhar imediatamente para proteger o AirDrop contra tais vulnerabilidades.”