Waarom AirDrop misschien niet luchtdicht is

December 02, 2021
InNieuws Internet Beveiliging

Belangrijkste leerpunten

AirDrop is geweldig om foto's naar je vrienden te sturen, maar een recent ontdekte fout betekent dat vreemden ook je contactgegevens kunnen krijgen.
Vreemden kunnen uw telefoonnummer en e-mailadres zien door een deelvenster voor iOS of macOS te openen binnen het wifi-bereik van andere mensen.
Het is aangetoond dat anonieme gebruikers foto's of bestanden naar doelapparaten kunnen pushen met AirDrop.

Concept van MacBook-bestandsdeling op blackboard — fatido / Getty Images

Appels AirDrop-functie is een handige manier om dingen te delen, maar het kan ook een privacyrisico zijn.

Een recent ontdekte AirDrop-fout laat vreemden je telefoonnummer en e-mailadres zien door een deelvenster voor iOS of macOS te openen binnen het wifi-bereik van andere mensen. Het is een van de vele privacykwetsbaarheden die Mac- en iOS-gebruikers zouden moeten kennen.

"Onze iOS-apparaten zijn verbonden met talloze apps voor sociale media, berichtenplatforms van derden en netwerksites waarmee mensen allerlei soorten inhoud met elkaar kunnen delen," Hank Schless, een beveiliging expert in

cyberbeveiligingsbedrijf Lookout, zei in een e-mailinterview. "Als je een bestand ontvangt van een onbekende contactpersoon, moet je het altijd als potentieel gevaarlijk behandelen totdat het tegendeel is bewezen."

Apple blijft stil over een oplossing

De fouten in de beveiligingsprotocollen voor AirDrop zijn naar verluidt in 2019 ontdekt door onderzoekers, die Apple op de hoogte brachten van het probleem. Een oplossing heeft het bedrijf echter nog niet. EEN recente krant ontdekte dat het probleem uitgebreider is dan eerder bekend.

"Omdat gevoelige gegevens doorgaans uitsluitend worden gedeeld met mensen die gebruikers al kennen, toont AirDrop standaard alleen ontvangers van adresboekcontacten", aldus het rapport. "Om te bepalen of de andere partij een contactpersoon is, gebruikt AirDrop een wederzijds authenticatiemechanisme dat het telefoonnummer en e-mailadres van een gebruiker vergelijkt met vermeldingen in het adresboek van de andere gebruiker."

"Het ontvangen van een AirDrop-melding van een onbekende persoon is een enorme rode vlag."

Het probleem met het gebruik van AirDrop voor gegevensdiefstal lijkt beperkt te zijn tot telefoonnummers en e-mailadressen, die in toekomstige gerichte phishing-aanvallen kunnen worden gebruikt, cybersecurity-expert Patrick Kelley zei in een e-mailinterview.

Jacob Ansari, een beveiligingsexpert bij Schellman & Company, een wereldwijde onafhankelijke beoordelaar van beveiligings- en privacycompliance, was het ermee eens dat phishing het doel zou kunnen zijn van potentiële hackers.

"Een aanvaller die zich in de buurt van een doelapparaat bevindt, kan heel gemakkelijk een gebruikersnaam (waarschijnlijk e-mailadres) en telefoonnummer verkrijgen", zei hij in een e-mailinterview. "Het is misschien het nuttigst bij het verkrijgen van het telefoonnummer van een bepaald slachtoffer, zoals een beroemdheid of een bepaald doelwit." (bijvoorbeeld de CEO van een bedrijf), maar is ook handig om vervolgens een meer directe phishing- of soortgelijke aanval op minder bekende mensen."

AirDrop zoals het wordt weergegeven op MacBooks met Big Sur — appel

Het is niet alleen de recent ontdekte fout die een probleem is met AirDrop. In de loop der jaren is aangetoond dat anonieme gebruikers foto's of bestanden naar doelapparaten kunnen pushen met AirDrop.

"Dit is gebruikt om openbare multimedia-evenementen te verstoren door AirDropping [volwassen] afbeeldingen," zei Kelley. "Dat gezegd hebbende, was er een 'positiviteitscampagne' waarbij anonieme gebruikers motiverende afbeeldingen AirDropping om apparaten te targeten."

Geen paniek, zeggen experts

Maar maak je niet al te veel zorgen over de AirDrop-fout, Oliver Tavakoli, de chief technology officer bij cyberbeveiligingsbedrijf Vectra, zei in een e-mailinterview. De aanvaller moet zich in relatief dichte fysieke nabijheid van u bevinden en er is wat werk nodig om uw e-mailadres en telefoonnummer te kraken. Natuurlijk kan en moet Apple deze fout herstellen.

"Laten we dit echter in perspectief houden", voegde Tavakoli eraan toe, "als de beschreven hack slaagt, heeft een aanvaller het e-mailadres en telefoonnummer van een onbekende in de buurt. Niet bepaald het einde van de wereld."

Groep mensen met een zakelijke bijeenkomst — filadendron / Getty Images

Hoewel Apple het AirDrop-probleem nog niet heeft opgelost, zijn er dingen die u kunt doen om het te helpen verminderen. Gebruikers moeten AirDrop uitschakelen als het niet wordt gebruikt, zei Kelley. Je zou ook kunnen overwegen om een open-source project genaamd PrivateDrop, die beweert het verificatieproces van de contactenlijst te hebben opgelost. De oplossing is gratis te gebruiken als AirDrop-vervanging.

Maar het beste wat gebruikers kunnen doen, is op hun hoede zijn voor wie hen bestanden probeert te sturen, zei Schless.

"Het ontvangen van een AirDrop-melding van een onbekende persoon is een enorme rode vlag", voegde hij eraan toe. "Voer uw mobiele apparaten uit volgens een beleid van de minst noodzakelijke toegang en privileges. Probeer actief het aantal gegevens en toegangsrechten voor apparaten te verminderen die u uw apps toestaat om potentiële blootstelling aan cyberbedreigingen te minimaliseren."