Zašto AirDrop možda nije hermetički zatvoren

December 02, 2021
UVijesti Sigurnost Na Internetu

click fraud protection

Ključni za poneti

AirDrop je izvrstan za slanje fotografija vašim prijateljima, ali nedavno otkrivena mana znači da bi i stranci mogli dobiti vaše podatke za kontakt.
Stranci bi mogli vidjeti vaš telefonski broj i adresu e-pošte samo otvaranjem okna za dijeljenje iOS-a ili macOS-a unutar Wi-Fi raspona drugih ljudi.
Pokazalo se da anonimni korisnici mogu gurati fotografije ili datoteke na ciljane uređaje pomoću AirDropa.

Koncept dijeljenja MacBook datoteka na ploči — fatido / Getty Images

jabuka Značajka AirDrop je zgodan način dijeljenja stvari, ali također može predstavljati rizik za privatnost.

Nedavno otkrivena mana AirDropa omogućuje strancima da vide vaš telefonski broj i adresu e-pošte samo otvaranjem okna za dijeljenje iOS ili macOS unutar Wi-Fi raspona drugih ljudi. To je jedna od niza ranjivosti privatnosti za koje bi korisnici Maca i iOS-a trebali znati.

„Naši iOS uređaji povezani su s bezbrojnim aplikacijama društvenih medija, platformama za razmjenu poruka trećih strana i mrežne stranice koje omogućuju ljudima da međusobno dijele sve vrste sadržaja", Hank Schless, zaštitar stručnjak za

tvrtka za kibernetičku sigurnost Lookout, rekao je u intervjuu e-poštom. "Ako primite bilo kakvu datoteku od nepoznatog kontakta, uvijek biste je trebali tretirati kao potencijalno opasnu dok se ne dokaže suprotno."

Apple šuti na popravak

Istraživači su navodno otkrili nedostatke u sigurnosnim protokolima za AirDrop 2019., koji su obavijestili Apple o problemu. Međutim, tvrtka još nije ponudila rješenje. A noviji rad utvrdio da je problem opsežniji nego što je bilo poznato.

"Budući da se osjetljivi podaci obično dijele isključivo s ljudima koje korisnici već poznaju, AirDrop prema zadanim postavkama prikazuje samo prijemne uređaje iz adresara", navodi se u izvješću. "Da bi utvrdio je li druga strana kontakt, AirDrop koristi mehanizam za međusobnu provjeru autentičnosti koji uspoređuje telefonski broj i adresu e-pošte korisnika s unosima u adresaru drugog korisnika."

"Dobijanje obavijesti o AirDropu od nepoznate osobe je velika crvena zastava."

Čini se da je problem s korištenjem AirDropa za krađu podataka ograničen na telefonske brojeve i adrese e-pošte, koji bi se mogli koristiti u budućim ciljanim phishing napadima, stručnjak za kibernetičku sigurnost Patrick Kelley rekao je u intervjuu e-poštom.

Jacob Ansari, stručnjak za sigurnost u Schellman & Company, globalni neovisni ocjenjivač usklađenosti sigurnosti i privatnosti, složio se da bi krađa identiteta mogla biti cilj svih potencijalnih hakera.

"Napadač koji je u blizini ciljanog uređaja može vrlo lako dobiti korisničko ime (vjerojatno adresu e-pošte) i telefonski broj", rekao je u intervjuu e-poštom. "Možda je najkorisnije za dobivanje telefonskog broja određene žrtve, poput slavne osobe ili određene mete (primjerice, izvršni direktor tvrtke), ali je također koristan u daljem postavljanju izravnijeg phishing ili sličnog napada na manje poznate narod."

AirDrop kako se pojavljuje na MacBookima koji koriste Big Sur — Jabuka

Nije samo nedavno otkrivena mana problem s AirDropom. Tijekom godina pokazalo se da anonimni korisnici mogu gurati fotografije ili datoteke na ciljane uređaje pomoću AirDropa.

"Ovo je korišteno za ometanje javnih multimedijskih događaja pomoću AirDropping slika [za odrasle]", rekao je Kelley. "S obzirom na to, postojala je 'pozitivna kampanja' u kojoj su anonimni korisnici AirDropping motivacijske slike ciljali uređaje."

Ne paničarite, kažu stručnjaci

Ali nemojte se previše brinuti o nedostatku AirDropa, Oliver Tavakoli, glavni tehnološki direktor u tvrtka za kibernetičku sigurnost Vectra, rekao je u intervjuu e-poštom. Napadač mora biti u relativno maloj fizičkoj blizini s vama, a potrebno je malo poraditi na probijanju vaše adrese e-pošte i telefonskog broja. Naravno, Apple može i treba popraviti ovaj nedostatak.

"Međutim, zadržimo ovo u perspektivi", dodao je Tavakoli, "ako opisani hak uspije, napadač će imati adresu e-pošte i telefonski broj obližnjeg stranca. Nije baš kraj svijeta."

Grupa ljudi na poslovnom sastanku — filadendron / Getty Images

Iako Apple još nije riješio problem AirDropa, postoje stvari koje možete učiniti kako biste ga ublažili. Korisnici bi trebali onemogućiti AirDrop ako se ne koristi, rekao je Kelley. Također biste mogli razmisliti o korištenju projekt otvorenog koda pod nazivom PrivateDrop, koji tvrdi da je riješio proces provjere popisa kontakata. Rješenje je besplatno za korištenje kao zamjena za AirDrop.

Ali najbolje što korisnici mogu učiniti je biti oprezan tko im pokušava poslati datoteke, rekao je Schless.

"Dobijanje obavijesti o AirDropu od nepoznate osobe velika je crvena zastava", dodao je. "Pokreni svoje mobilne uređaje prema politici najmanje potrebnog pristupa i privilegija. Aktivno pokušajte smanjiti broj dopuštenja za pristup podacima i uređajima koje dopuštate svojim aplikacijama kako biste smanjili potencijalnu izloženost cyber prijetnjama."