Kodėl „AirDrop“ negali būti sandarus

December 02, 2021
ĮŽinios Interneto Apsauga

Key Takeaways

„AirDrop“ puikiai tinka siųsti nuotraukas savo draugams, tačiau neseniai aptiktas trūkumas reiškia, kad nepažįstami žmonės taip pat gali gauti jūsų kontaktinę informaciją.
Nepažįstami žmonės gali matyti jūsų telefono numerį ir el. pašto adresą tiesiog atidarę „iOS“ arba „macOS“ bendrinimo sritį kitų žmonių „Wi-Fi“ diapazone.
Buvo įrodyta, kad anoniminiai vartotojai gali perkelti nuotraukas ar failus į tikslinius įrenginius naudodami „AirDrop“.

„MacBook“ failų bendrinimo lentoje koncepcija — fatido / Getty Images

Apple „AirDrop“ funkcija yra patogus būdas dalytis dalykais, tačiau tai taip pat gali kelti pavojų privatumui.

Neseniai aptiktas „AirDrop“ trūkumas leidžia nepažįstamiems žmonėms matyti jūsų telefono numerį ir el. pašto adresą tiesiog atidarius „iOS“ arba „MacOS“ bendrinimo sritį kitų žmonių „Wi-Fi“ diapazone. Tai vienas iš daugybės privatumo spragų, apie kurias turėtų žinoti „Mac“ ir „iOS“ vartotojai.

„Mūsų iOS įrenginiai yra prijungti prie daugybės socialinės žiniasklaidos programų, trečiųjų šalių pranešimų platformų ir tinklo svetainės, leidžiančios žmonėms dalytis visokiu turiniu vieni su kitais“, – saugos darbuotojas Hankas Schlessas ekspertas pas

kibernetinio saugumo įmonė „Lookout“., sakė interviu el. „Jei gaunate bet kokį failą iš nežinomo kontakto, visada turėtumėte laikyti jį potencialiai pavojingu, kol neįrodysite kitaip.

„Apple“ tyli, kai reikia išspręsti problemą

Pranešama, kad „AirDrop“ saugos protokolų trūkumus 2019 m. atskleidė mokslininkai, pranešę „Apple“ apie problemą. Tačiau bendrovė dar nepateikė sprendimo. A naujausias popierius nustatė, kad problema yra platesnė, nei buvo žinoma anksčiau.

„Kadangi jautrūs duomenys paprastai dalijami tik su žmonėmis, kuriuos naudotojai jau pažįsta, pagal numatytuosius nustatymus AirDrop rodo tik imtuvų įrenginius iš adresų knygos kontaktų“, – teigiama ataskaitoje. „Norint nustatyti, ar kita šalis yra kontaktas, AirDrop naudoja abipusį autentifikavimo mechanizmą, kuris lygina vartotojo telefono numerį ir el. pašto adresą su įrašais kito vartotojo adresų knygoje.

„AirDrop pranešimo gavimas iš nežinomo asmens yra didžiulė raudona vėliava.

Panašu, kad „AirDrop“ naudojimo duomenims vagystei problema apsiriboja telefono numeriais ir el. pašto adresais, kurie gali būti naudojami būsimose tikslinėse sukčiavimo atakose, kibernetinio saugumo ekspertas Patrickas Kelley sakė interviu elektroniniu paštu.

Jokūbas Ansari, saugumo ekspertas Schellman & Company, pasaulinis nepriklausomas saugos ir privatumo atitikties vertintojas, sutiko, kad sukčiavimas gali būti bet kurio potencialaus įsilaužėlio tikslas.

„Užpuolikas, esantis arti tikslinio įrenginio, gali labai lengvai gauti vartotojo vardą (tikriausiai el. pašto adresą) ir telefono numerį“, – sakė jis interviu el. paštu. „Tai turbūt naudingiausia norint gauti konkrečios aukos, pavyzdžiui, įžymybės ar konkretaus taikinio, telefono numerį (pvz., įmonės generalinis direktorius), bet taip pat naudingas surengiant tiesioginę sukčiavimo ar panašią ataką prieš mažiau žinomus žmonės“.

„AirDrop“, kaip atrodo „MacBook“, kuriame veikia „Big Sur“. — Apple

„AirDrop“ problema yra ne tik neseniai aptiktas trūkumas. Bėgant metams buvo įrodyta, kad anoniminiai vartotojai gali perkelti nuotraukas ar failus į tikslinius įrenginius naudodami „AirDrop“.

„Tai buvo panaudota siekiant sutrikdyti viešus daugialypės terpės įvykius naudojant „AirDropping“ [suaugusiesiems skirtus] vaizdus“, - sakė Kelley. „Atsižvelgiant į tai, buvo „pozityvumo kampanija“, kurios metu anoniminiai vartotojai „AirDropping“ motyvuojančius vaizdus naudojo tiksliniams įrenginiams.

Nepanikuokite, sako ekspertai

Tačiau per daug nesijaudinkite dėl „AirDrop“ trūkumo, sako Oliveris Tavakoli, vyriausiasis technologijų pareigūnas kibernetinio saugumo įmonė Vectra, sakė interviu el. Užpuolikas turi būti gana arti jūsų, o norint nulaužti jūsų el. pašto adresą ir telefono numerį, reikia atlikti tam tikrą darbą. Žinoma, „Apple“ gali ir turėtų ištaisyti šį trūkumą.

„Tačiau turėkime tai perspektyvoje“, - pridūrė Tavakoli, „jei aprašytas įsilaužimas pavyks, užpuolikas turės netoliese esančio nepažįstamojo el. pašto adresą ir telefono numerį. Ne visai pasaulio pabaiga“.

Grupė žmonių, rengiančių verslo susitikimą — filadendras / Getty Images

Nors „Apple“ dar neišsprendė „AirDrop“ problemos, yra dalykų, kuriuos galite padaryti, kad padėtumėte ją sumažinti. Kelley sakė, kad vartotojai turėtų išjungti „AirDrop“, jei jis nenaudojamas. Taip pat galite apsvarstyti galimybę naudoti atvirojo kodo projektas, pavadintas „PrivateDrop“., kuri teigia išsprendusi kontaktų sąrašo patvirtinimo procesą. Sprendimą galima nemokamai naudoti kaip „AirDrop“ pakaitalą.

Tačiau geriausia, ką vartotojai gali padaryti, yra būti atsargiems, kas bando jiems siųsti failus, sakė Schlessas.

„Gauti AirDrop pranešimą iš nežinomo asmens yra didžiulė raudona vėliava“, – pridūrė jis. „Paleiskite savo mobiliuosius įrenginius laikydamiesi mažiausiai būtinos prieigos ir privilegijų. Aktyviai stenkitės sumažinti duomenų ir įrenginio prieigos leidimų, kuriuos leidžiate savo programoms, skaičių, kad sumažintumėte galimą kibernetinių grėsmių poveikį.