AirDrop、実はヤバかった？ 電話番号やメールアドレスが特定される可能性ありと判明

　Appleのファイル送信ツール「AirDrop」に、電話番号とメールアドレスを特定可能な脆弱性があることが判明した。

　AirDropは送信時に、電話番号とメールアドレスのSHA256ハッシュを交換しているが、これらがソルトなしで変換されているため、総当たりによって解読されてしまう可能性があるというもの。特に電話番号については数字のみで桁数もほぼ等しいことから解読は比較的容易で、また、メールアドレスは電話番号よりは複雑とはいえ、他のサービスから流出したメールアドレスを用いることにより、マッチングは十分にあり得るとされている。この件を発見した研究者は2019年にこの問題をAppleに報告したとしているが、同社からの反応はないままで、同氏は現時点でリークを防ぐ唯一の方法として、AirDropのターゲットを「誰でも」にせず、また、共有ペインを開かないことだと述べており、独自に改良したファイル交換ツール「PrivateDrop」をGitHub上で公開している。

• Apple's AirDrop leaks users' PII, and there's not much they can do about it（Ars Technica）
  https://arstechnica.com/gadgets/2021/04/apples-airdrop-leaks-users-pii-and-theres-not-much-they-can-do-about-it/
• Apple AirDrop shares more than files – Computer Science（Technical University of Darmstadt）
  https://www.informatik.tu-darmstadt.de/fb20/ueber_uns_details_231616.en.jsp
• seemoo-lab/privatedrop（GitHub）
  https://github.com/seemoo-lab/privatedrop