Ključni izsledki
- AirDrop je odličen za pošiljanje fotografij vašim prijateljem, vendar nedavno odkrita napaka pomeni, da lahko tudi neznanci dobijo vaše kontaktne podatke.
- Neznanci lahko vidijo vašo telefonsko številko in e-poštni naslov že tako, da odprejo podokno za skupno rabo iOS ali macOS v dosegu Wi-Fi drugih ljudi.
- Dokazano je, da lahko anonimni uporabniki potisnejo fotografije ali datoteke na ciljne naprave z uporabo AirDrop.
Applova funkcija AirDrop je priročen način za skupno rabo stvari, vendar je lahko tudi tveganje za zasebnost.
Pred kratkim odkrita napaka AirDrop neznancem omogoča, da vidijo vašo telefonsko številko in e-poštni naslov tako, da odprejo podokno za skupno rabo iOS ali macOS v dosegu Wi-Fi drugih ljudi. To je ena izmed številnih ranljivosti zasebnosti, o katerih bi morali vedeti uporabniki Mac in iOS.
"Naše naprave iOS so povezane z neštetimi aplikacijami za družabne medije, platformami za sporočanje tretjih oseb in spletnimi mesti, ki ljudem omogočajo medsebojno skupno rabo najrazličnejših vsebin," Hank Schless, varnostni strokovnjak pri podjetju za kibernetsko varnost Lookout, je dejal v intervjuju po elektronski pošti. "Če prejmete kakršno koli datoteko od neznanega stika, jo vedno obravnavajte kot potencialno nevarno, dokler se ne dokaže nasprotno."
Apple molči o popravku
Napake v varnostnih protokolih za AirDrop naj bi leta 2019 odkrili raziskovalci, ki so Apple obvestili o težavi. Vendar podjetje še ni ponudilo rešitve. Nedavni članek je ugotovil, da je težava obsežnejša, kot je bilo znano prej.
»Ker se občutljivi podatki običajno delijo izključno z ljudmi, ki jih uporabniki že poznajo, AirDrop privzeto prikazuje le sprejemne naprave iz imenika stikov,« je navedeno v poročilu. "Da bi ugotovil, ali je druga stranka kontakt, AirDrop uporablja mehanizem vzajemne avtentikacije, ki primerja telefonsko številko in e-poštni naslov uporabnika z vnosi v imeniku drugega uporabnika."
Prejemanje obvestila AirDrop od neznane osebe je velika rdeča zastava.
Zdi se, da je težava z uporabo AirDropa za krajo podatkov omejena na telefonske številke in e-poštne naslove, ki bi jih lahko uporabili v prihodnjih ciljanih lažnih napadih, je v intervjuju po e-pošti povedal strokovnjak za kibernetsko varnost Patrick Kelley.
Jacob Ansari, strokovnjak za varnost pri Schellman & Company, globalnem neodvisnem ocenjevalcu skladnosti z varnostjo in zasebnostjo, se je strinjal, da bi lahko bilo lažno predstavljanje cilj morebitnih hekerjev.
"Napadalec, ki je v bližini ciljne naprave, lahko zelo enostavno pridobi uporabniško ime (verjetno e-poštni naslov) in telefonsko številko," je dejal v intervjuju po elektronski pošti. »Morda je najbolj uporaben pri pridobivanju telefonske številke določene žrtve, kot je slavna osebnost ali določena tarča (npr. generalni direktor podjetja), vendar je uporaben tudi pri izvajanju bolj neposrednega lažnega predstavljanja ali podobnega napada na manj znane ljudi."
Težava AirDropa ni le nedavno odkrita napaka. V preteklih letih se je pokazalo, da lahko anonimni uporabniki potisnejo fotografije ali datoteke na ciljne naprave z uporabo AirDrop.
"To je bilo uporabljeno za motenje javnih večpredstavnostnih dogodkov z AirDropping [za odrasle] slike," je dejal Kelley. "Kot rečeno, obstajala je 'pozitivna kampanja', kjer so anonimni uporabniki pošiljali motivacijske slike AirDropping za ciljne naprave."
Brez panike, pravijo strokovnjaki
Ampak ne skrbite preveč zaradi napake AirDrop, je v intervjuju po elektronski pošti dejal Oliver Tavakoli, glavni tehnološki direktor v podjetju za kibernetsko varnost Vectra. Napadalec mora biti v relativno neposredni vaši fizični bližini in potrebno je nekaj dela, da vdre v vaš e-poštni naslov in telefonsko številko. Seveda Apple lahko in mora popraviti to napako.
"Vendar pa zadržimo to v perspektivi," je dodal Tavakoli, "če bo opisani vdor uspel, bo imel napadalec e-poštni naslov in telefonsko številko neznanca v bližini. Ni ravno konec sveta."
Čeprav Apple še ni odpravil težave z AirDropom, lahko nekaj storite, da jo ublažite. Uporabniki bi morali onemogočiti AirDrop, če se ne uporablja, je dejal Kelley. Razmislite lahko tudi o uporabi odprtokodnega projekta z imenom PrivateDrop, ki trdi, da je razrešil postopek preverjanja seznama stikov. Rešitev je brezplačna za uporabo kot zamenjava za AirDrop.
Toda najboljše, kar lahko uporabniki storijo, je, da so previdni, kdo jim poskuša poslati datoteke, je dejal Schless.
"Prejemanje obvestila AirDrop od neznanega posameznika je velika rdeča zastava," je dodal. "Zaženite svoje mobilne naprave s politiko najmanj potrebnega dostopa in privilegijev. Aktivno poskušajte zmanjšati število dovoljenj za dostop do podatkov in naprav, ki jih dovolite svojim aplikacijam, da čim bolj zmanjšate morebitno izpostavljenost kibernetskim grožnjam."