Miksi AirDrop ei välttämättä ole ilmatiivis

December 02, 2021
SisäänUutiset Internet Turvallisuus

Avaimet takeawayt

AirDrop sopii erinomaisesti kuvien lähettämiseen ystävillesi, mutta äskettäin havaittu virhe tarkoittaa, että myös tuntemattomat voivat saada yhteystietosi.
Muukalaiset voivat nähdä puhelinnumerosi ja sähköpostiosoitteesi vain avaamalla iOS- tai macOS-jakoruudun muiden ihmisten Wi-Fi-alueella.
On osoitettu, että nimettömät käyttäjät voivat työntää valokuvia tai tiedostoja kohdelaitteisiin AirDropin avulla.

Käsite MacBookin tiedostojen jakamisesta taululle — fatido / Getty Images

Applen AirDrop-ominaisuus on kätevä tapa jakaa asioita, mutta se voi myös olla tietosuojariski.

Äskettäin havaitun AirDrop-virheen ansiosta tuntemattomat näkevät puhelinnumerosi ja sähköpostiosoitteesi vain avaamalla iOS- tai macOS-jakoruudun muiden ihmisten Wi-Fi-alueella. Se on yksi monista tietosuojahaavoittuvuuksista, jotka Macin ja iOS: n käyttäjien pitäisi tietää.

"IOS-laitteemme on yhdistetty lukemattomiin sosiaalisen median sovelluksiin, kolmansien osapuolien viestialustoille ja verkkosivustoja, joiden avulla ihmiset voivat jakaa kaikenlaista sisältöä toistensa kanssa", Hank Schless, tietoturva asiantuntija osoitteessa

kyberturvallisuusyritys Lookout, sanoi sähköpostihaastattelussa. "Jos saat minkä tahansa tiedoston tuntemattomalta yhteyshenkilöltä, sinun tulee aina käsitellä sitä mahdollisesti vaarallisena, kunnes toisin todistetaan."

Apple vaikenee korjauksesta

Tutkijat paljastivat AirDropin tietoturvaprotokollien puutteet vuonna 2019, ja he ilmoittivat Applelle ongelmasta. Yritys ei kuitenkaan ole vielä tarjonnut ratkaisua. A tuore lehti havaitsi, että ongelma on laajempi kuin aiemmin tiedettiin.

"Koska arkaluontoiset tiedot jaetaan tyypillisesti yksinomaan ihmisten kanssa, jotka käyttäjät jo tuntevat, AirDrop näyttää oletusarvoisesti vain vastaanottajalaitteet osoitekirjan yhteystiedoista", raportissa todetaan. "Määrittääkseen, onko toinen osapuoli yhteyshenkilö, AirDrop käyttää molemminpuolista todennusmekanismia, joka vertaa käyttäjän puhelinnumeroa ja sähköpostiosoitetta toisen käyttäjän osoitekirjan merkintöihin."

"AirDrop-ilmoituksen saaminen tuntemattomalta henkilöltä on valtava punainen lippu."

Ongelma AirDropin käyttämisessä datavarkauksiin näyttää rajoittuvan puhelinnumeroihin ja sähköpostiosoitteisiin, joita voidaan käyttää tulevissa kohdistetuissa tietojenkalasteluhyökkäyksissä, kyberturvallisuusasiantuntija Patrick Kelley sanoi sähköpostihaastattelussa.

Jacob Ansari, turvallisuusasiantuntija osoitteessa Schellman & Company, maailmanlaajuinen riippumaton turvallisuuden ja yksityisyyden vaatimustenmukaisuuden arvioija, oli samaa mieltä siitä, että tietojenkalastelu voi olla kaikkien mahdollisten hakkereiden tavoite.

"Hyökkääjä, joka on lähellä kohdelaitetta, voi saada käyttäjätunnuksen (luultavasti sähköpostiosoitteen) ja puhelinnumeron erittäin helposti", hän sanoi sähköpostihaastattelussa. "Se on ehkä hyödyllisintä tietyn uhrin, kuten julkkiksen tai kohteen puhelinnumeron saamisessa (esim. yrityksen toimitusjohtaja), mutta on myös hyödyllinen suoritettaessa suorempaa tietojenkalastelu- tai vastaavaa hyökkäystä vähemmän kuuluisia vastaan ihmiset."

AirDrop sellaisena kuin se näkyy MacBookeissa, joissa on Big Sur — Omena

AirDropin ongelmana ei ole vain äskettäin löydetty puute. Vuosien mittaan on osoitettu, että nimettömät käyttäjät voivat työntää valokuvia tai tiedostoja kohdelaitteisiin AirDropin avulla.

"Tätä on käytetty häiritsemään julkisia multimediatapahtumia AirDroppingin [aikuisten] kuvilla", Kelley sanoi. "Tästä huolimatta siellä oli "positiivisuuskampanja", jossa nimettömät käyttäjät motivoivat AirDropping-kuvia kohdelaitteisiin."

Älä panikoi, asiantuntijat sanovat

Mutta älä murehdi liikaa AirDrop-virheestä, Oliver Tavakoli, teknologiajohtaja kyberturvallisuusyritys Vectra, sanoi sähköpostihaastattelussa. Hyökkääjän on oltava fyysisesti suhteellisen lähellä sinua, ja sähköpostiosoitteesi ja puhelinnumerosi murtamiseen tarvitaan jonkin verran työtä. Tietenkin Apple voi ja sen pitäisi korjata tämä virhe.

"Pidetään tämä kuitenkin perspektiivissä", lisäsi Tavakoli, "jos kuvattu hakkerointi onnistuu, hyökkääjällä on lähellä olevan tuntemattoman sähköpostiosoite ja puhelinnumero. Ei aivan maailmanloppu."

Ryhmä ihmisiä, joilla on liiketapaaminen — filadendron / Getty Images

Vaikka Apple ei ole vielä korjannut AirDrop-ongelmaa, voit tehdä asioita lieventääksesi sitä. Käyttäjien tulee poistaa AirDrop käytöstä, jos sitä ei käytetä, Kelley sanoi. Voit myös harkita an avoimen lähdekoodin projekti nimeltä PrivateDrop, joka väittää ratkaisseensa yhteystietoluettelon vahvistusprosessin. Ratkaisua voi käyttää ilmaiseksi AirDrop-korvaajana.

Mutta parasta, mitä käyttäjät voivat tehdä, on olla varovainen sen suhteen, kuka yrittää lähettää heille tiedostoja, Schless sanoi.

"AirDrop-ilmoituksen saaminen tuntemattomalta henkilöltä on valtava punainen lippu", hän lisäsi. "Käytä mobiililaitteitasi vähiten välttämättömien käyttöoikeuksien ja etuoikeuksien mukaisesti. Yritä aktiivisesti vähentää sovelluksille myönnettävien tietojen ja laitteen käyttöoikeuksien määrää minimoidaksesi mahdollisen kyberuhkille altistumisen."