De ce este posibil ca AirDrop să nu fie etanș

December 02, 2021
ÎnȘtiri Securitatea Internetului

Recomandări cheie

AirDrop este excelent pentru a trimite fotografii prietenilor tăi, dar un defect descoperit recent înseamnă că străinii ar putea obține și informațiile tale de contact.
Necunoscuții ar putea să vă vadă numărul de telefon și adresa de e-mail doar deschizând un panou de partajare iOS sau macOS în intervalul Wi-Fi al altor persoane.
S-a demonstrat că utilizatorii anonimi pot împinge fotografii sau fișiere către dispozitive țintă folosind AirDrop.

Conceptul de partajare a fișierelor MacBook pe tablă — fatido / Getty Images

ale Apple Funcția AirDrop este o modalitate la îndemână de a împărtăși lucruri, dar poate fi și un risc pentru confidențialitate.

O defecțiune AirDrop descoperită recent le permite străinilor să vă vadă numărul de telefon și adresa de e-mail doar prin deschiderea unui panou de partajare iOS sau macOS în intervalul Wi-Fi al altor persoane. Este una dintre vulnerabilitățile de confidențialitate pe care ar trebui să le cunoască utilizatorii Mac și iOS.

„Dispozitivele noastre iOS sunt conectate la nenumărate aplicații de social media, platforme de mesagerie terță parte și site-uri de rețea care permit oamenilor să partajeze tot felul de conținut între ei”, Hank Schless, un agent de securitate expert la

firma de securitate cibernetică Lookout, a spus într-un interviu prin e-mail. „Dacă primiți orice fel de fișier de la un contact necunoscut, ar trebui să îl tratați întotdeauna ca potențial periculos până când se dovedește contrariul.”

Apple rămâne tăcut pe o remediere

Se pare că defectele protocoalelor de securitate pentru AirDrop au fost descoperite în 2019 de către cercetători, care au informat Apple despre problemă. Cu toate acestea, compania nu a oferit încă o soluție. A lucrare recentă am constatat că problema este mai extinsă decât se știa anterior.

„Deoarece datele sensibile sunt de obicei partajate exclusiv cu persoane pe care utilizatorii deja le cunosc, AirDrop arată în mod prestabilit numai dispozitivele receptor de la contactele din agenda de adrese”, se arată în raport. „Pentru a determina dacă cealaltă parte este o persoană de contact, AirDrop utilizează un mecanism de autentificare reciprocă care compară numărul de telefon și adresa de e-mail ale unui utilizator cu intrările din agenda celuilalt utilizator.”

„Primirea unei notificări AirDrop de la o persoană necunoscută este un semnal roșu masiv.”

Problema cu utilizarea AirDrop pentru furtul de date pare să fie limitată la numere de telefon și adrese de e-mail, care ar putea fi folosite în viitoare atacuri de phishing direcționate, expert în securitate cibernetică Patrick Kelley a spus într-un interviu prin e-mail.

Jacob Ansari, expert în securitate la Schellman & Company, un evaluator global independent de securitate și confidențialitate, a fost de acord că phishing-ul ar putea fi scopul oricărui potențial hacker.

„Un atacator aflat în apropiere de un dispozitiv țintă poate obține foarte ușor un nume de utilizator (probabil o adresă de e-mail) și un număr de telefon”, a spus el într-un interviu prin e-mail. „Este poate cel mai util în obținerea numărului de telefon al unei anumite victime, cum ar fi o celebritate sau o anumită țintă (de exemplu, un CEO al companiei), dar este și util pentru a realiza apoi un phishing mai direct sau un atac similar împotriva celor mai puțin celebri oameni."

AirDrop așa cum apare pe MacBook-urile care rulează Big Sur — măr

Nu doar defectul descoperit recent este o problemă cu AirDrop. De-a lungul anilor, s-a demonstrat că utilizatorii anonimi pot împinge fotografii sau fișiere către dispozitive vizate folosind AirDrop.

„Acest lucru a fost folosit pentru a perturba evenimentele multimedia publice prin AirDropping [adulților] imagini”, a spus Kelley. „Aceasta fiind spuse, a existat o „campanie de pozitivitate” în care utilizatorii anonimi aruncau imagini motivaționale AirDropping pentru a viza dispozitivele.”

Nu intrați în panică, spun experții

Dar nu vă faceți griji prea mult cu privire la defectul AirDrop, Oliver Tavakoli, directorul de tehnologie la firma de securitate cibernetică Vectra, a spus într-un interviu prin e-mail. Atacatorul trebuie să se afle în apropiere fizică relativ apropiată de dvs. și este nevoie de ceva muncă pentru a vă sparge adresa de e-mail și numărul de telefon. Desigur, Apple poate și ar trebui să remedieze acest defect.

„Cu toate acestea, să păstrăm acest lucru în perspectivă”, a adăugat Tavakoli, „dacă hack-ul descris reușește, un atacator va avea adresa de e-mail și numărul de telefon al unui străin din apropiere. Nu tocmai sfârșitul lumii.”

Grup de oameni care au o întâlnire de afaceri — filadendron / Getty Images

Deși Apple nu a rezolvat încă problema AirDrop, există lucruri pe care le puteți face pentru a ajuta la atenuarea acesteia. Utilizatorii ar trebui să dezactiveze AirDrop dacă nu este utilizat, a spus Kelley. De asemenea, ați putea lua în considerare utilizarea unui proiect open-source numit PrivateDrop, care susține că a rezolvat procesul de verificare a listei de contacte. Soluția poate fi folosită gratuit ca înlocuitor AirDrop.

Dar cel mai bun lucru pe care îl pot face utilizatorii este să fie atenți la cine încearcă să le trimită fișiere, a spus Schless.

„Primirea unei notificări AirDrop de la o persoană necunoscută este un semnal roșu masiv”, a adăugat el. „Rulați dispozitivele mobile cu o politică de acces și privilegii minim necesare. Încercați să reduceți în mod activ numărul de permisiuni de acces la date și la dispozitive pe care le permiteți aplicațiilor dvs. pentru a minimiza expunerea potențială la amenințările cibernetice.”