Bloomberg informuje, że chińskie instytucje wspierane przez rząd skutecznie naruszyły funkcję AirDrop firmy Apple, co pozwoliło na identyfikowanie osób rozpowszechniających „niechciane treści” przez bezprzewodowy protokół peer-to-peer. AirDrop, będący ad-hoc usługą Apple, umożliwia użytkownikom wykrywanie pobliskich urządzeń z systemami iOS i Mac, a także bezpieczne przesyłanie plików, wykorzystując Wi-Fi i Bluetooth. Dzięki tej funkcji możliwe jest przesyłanie zdjęć, filmów, dokumentów, kontaktów, haseł i innych treści.
Apple zachwala bezpieczeństwo protokołu, podkreślając, że wykorzystuje on szyfrowanie TLS (Transport Layer Security). Jednakże, Pekińskie Miejskie Biuro Sprawiedliwości (BMBJ) twierdzi, że udało się im obejść to szyfrowanie i odsłonić identyfikujące informacje. Z analizy logów urządzeń iPhone wynika, że BMBJ stworzyło „tabelę tęczową” umożliwiającą przekształcenie zaszyfrowanych danych na oryginalny tekst i powiązanie numerów telefonów oraz adresów email nadawców treści AirDrop.
BMBJ opisuje to jako „przełom technologiczny”, który pomógł władzom w identyfikacji osób podejrzanych o przestępstwa, wykorzystujących AirDrop do dystrybucji nielegalnych treści.
Biuro dodaje, że ta innowacja poprawia skuteczność i dokładność w rozwiązywaniu spraw oraz przeciwdziała rozprzestrzenianiu się „niewłaściwych uwag i potencjalnie szkodliwych wpływów”.
Nie jest jasne, czy luka w AirDrop była wcześniej wykorzystywana przez jakąkolwiek agencję rządową. Warto przypomnieć, że w kwietniu 2021 roku niemieccy naukowcy odkryli, że mechanizm wzajemnej autentykacji może ujawniać prywatne informacje. Apple zostało poinformowane o tym problemie w maju 2019 roku, ale nie dokonało jego naprawy.
W listopadzie 2022 roku Apple ograniczyło funkcjonalność AirDrop na urządzeniach w Chinach po tym, jak antyrządowi aktywiści używali tej funkcji do dystrybucji ulotek politycznych. Ograniczenie polegało na domyślnym zezwoleniu na AirDrop jedynie od kontaktów, z opcją „dla wszystkich” ograniczoną do 10 minut. Z wprowadzeniem iOS 16.2, Apple rozszerzyło to ograniczenie na użytkowników na całym świecie, tłumacząc to potrzebą ograniczenia spamu w miejscach takich jak centra handlowe i lotniska.
