Hvorfor AirDrop kanskje ikke er lufttett

December 02, 2021
INyheter Internett Sikkerhet

Viktige takeaways

AirDrop er flott for å sende bilder til vennene dine, men en nylig oppdaget feil betyr at fremmede også kan få kontaktinformasjonen din.
Fremmede kunne se telefonnummeret og e-postadressen din bare ved å åpne en iOS- eller macOS-delingsrute innenfor Wi-Fi-området til andre mennesker.
Det har vist seg at anonyme brukere kan sende bilder eller filer til målenheter ved hjelp av AirDrop.

Konsept med MacBook-fildeling på tavle — fatido / Getty Images

Apples AirDrop-funksjon er en hendig måte å dele ting på, men det kan også være en personvernrisiko.

En nylig oppdaget AirDrop-feil lar fremmede se telefonnummeret og e-postadressen din bare ved å åpne en iOS- eller macOS-delingsrute innenfor Wi-Fi-området til andre mennesker. Det er en av en rekke personvernsårbarheter som Mac- og iOS-brukere bør vite om.

"Våre iOS-enheter er koblet til utallige sosiale medier-apper, tredjeparts meldingsplattformer og nettverkssider som lar folk dele all slags innhold med hverandre," Hank Schless, en sikkerhet ekspert på cybersikkerhetsfirmaet Lookout

, sa i et e-postintervju. "Hvis du mottar noen form for fil fra en ukjent kontakt, bør du alltid behandle den som potensielt farlig inntil det motsatte er bevist."

Apple forblir stille på en reparasjon

Feilene i sikkerhetsprotokollene for AirDrop ble angivelig avdekket i 2019 av forskere, som ga Apple beskjed om problemet. Imidlertid har selskapet ennå ikke kommet med en løsning. EN fersk papir fant ut at problemet er mer omfattende enn tidligere kjent.

"Ettersom sensitive data vanligvis utelukkende deles med folk som brukere allerede kjenner, viser AirDrop bare mottakerenheter fra adressebokkontakter som standard," heter det i rapporten. "For å avgjøre om den andre parten er en kontakt, bruker AirDrop en gjensidig autentiseringsmekanisme som sammenligner en brukers telefonnummer og e-postadresse med oppføringer i den andre brukerens adressebok."

"Å få et AirDrop-varsel fra en ukjent person er et massivt rødt flagg."

Problemet med å bruke AirDrop for datatyveri ser ut til å være begrenset til telefonnumre og e-postadresser, som kan brukes i fremtidige målrettede phishing-angrep, nettsikkerhetsekspert Patrick Kelley sa i et e-postintervju.

Jacob Ansari, en sikkerhetsekspert ved Schellman & Company, en global uavhengig vurdering av sikkerhet og personvern, var enig i at phishing kan være målet for alle potensielle hackere.

"En angriper med nærhet til en målenhet kan få et brukernavn (sannsynligvis e-postadresse) og telefonnummer veldig enkelt," sa han i et e-postintervju. "Det er kanskje mest nyttig for å få telefonnummeret til et bestemt offer, for eksempel en kjendis eller et bestemt mål (f.eks. en bedriftssjef), men er også nyttig for deretter å sette i gang et mer direkte phishing eller lignende angrep mot mindre kjente mennesker."

AirDrop slik det ser ut på MacBooks som kjører Big Sur — eple

Det er ikke bare den nylig oppdagede feilen som er et problem med AirDrop. Gjennom årene har det blitt vist at anonyme brukere kan sende bilder eller filer til målenheter ved hjelp av AirDrop.

"Dette har blitt brukt til å forstyrre offentlige multimediebegivenheter ved å AirDropping [voksen] bilder," sa Kelley. "Når det er sagt, var det en 'positivitetskampanje' der anonyme brukere AirDropping motiverende bilder for å målrette enheter."

Ikke få panikk, sier eksperter

Men ikke bekymre deg for mye om AirDrop-feilen, Oliver Tavakoli, teknologisjef hos cybersikkerhetsfirmaet Vectra, sa i et e-postintervju. Angriperen må være i relativt nær fysisk nærhet til deg, og det er noe arbeid som kreves for å knekke e-postadressen og telefonnummeret ditt. Selvfølgelig kan og bør Apple fikse denne feilen.

"Men la oss holde dette i perspektiv," la Tavakoli til, "hvis det beskrevne hacket lykkes, vil en angriper ha e-postadressen og telefonnummeret til en fremmed i nærheten. Ikke akkurat verdens undergang."

Gruppe mennesker som har et forretningsmøte — filadendron / Getty Images

Selv om Apple ennå ikke har løst AirDrop-problemet, er det ting du kan gjøre for å redusere det. Brukere bør deaktivere AirDrop hvis den ikke blir brukt, sa Kelley. Du kan også vurdere å bruke en åpen kildekode-prosjekt kalt PrivateDrop, som hevder å ha løst bekreftelsesprosessen for kontaktlisten. Løsningen er gratis å bruke som AirDrop-erstatning.

Men det beste brukerne kan gjøre er å være forsiktig med hvem som prøver å sende dem filer, sa Schless.

"Å få et AirDrop-varsel fra en ukjent person er et massivt rødt flagg," la han til. "Kjør de mobile enhetene dine på en policy med minst nødvendig tilgang og privilegier. Prøv aktivt å redusere antallet data- og enhetstilgangstillatelser du lar appene dine ha for å minimere potensiell eksponering for nettrusler."