Prečo AirDrop nemusí byť vzduchotesný

December 02, 2021
VNovinky Internetová Bezpečnosť

Kľúčové poznatky

AirDrop je skvelý na posielanie fotografií vašim priateľom, ale nedávno objavený nedostatok znamená, že vaše kontaktné informácie môžu získať aj cudzinci.
Cudzí ľudia môžu vidieť vaše telefónne číslo a e-mailovú adresu jednoduchým otvorením podokna zdieľania iOS alebo macOS v dosahu Wi-Fi iných ľudí.
Ukázalo sa, že anonymní používatelia môžu posielať fotografie alebo súbory do cieľových zariadení pomocou AirDrop.

Koncept zdieľania súborov MacBook na tabuli — fatido / Getty Images

od spoločnosti Apple Funkcia AirDrop je praktický spôsob zdieľania vecí, ale môže to byť aj riziko pre súkromie.

Nedávno objavená chyba AirDrop umožňuje cudzincom vidieť vaše telefónne číslo a e-mailovú adresu jednoduchým otvorením podokna zdieľania iOS alebo macOS v dosahu Wi-Fi iných ľudí. Je to jedna z radu zraniteľností v oblasti ochrany osobných údajov, o ktorých by používatelia Mac a iOS mali vedieť.

„Naše zariadenia so systémom iOS sú pripojené k nespočetným aplikáciám sociálnych médií, platformám na odosielanie správ tretích strán a sieťové stránky, ktoré umožňujú ľuďom navzájom zdieľať najrôznejšie druhy obsahu,“ Hank Schless, bezpečnostný pracovník odborník na

kybernetickej bezpečnosti Lookout, povedal v e-mailovom rozhovore. "Ak dostanete akýkoľvek druh súboru od neznámeho kontaktu, mali by ste s ním vždy zaobchádzať ako s potenciálne nebezpečným, kým sa nepreukáže opak."

Apple pri oprave mlčí

Chyby v bezpečnostných protokoloch pre AirDrop boli údajne odhalené v roku 2019 výskumníkmi, ktorí dali Apple vedieť o probléme. Spoločnosť však zatiaľ neposkytla riešenie. A nedávny papier zistil, že problém je rozsiahlejší, ako sa predtým vedelo.

„Keďže citlivé údaje sa zvyčajne zdieľajú výlučne s ľuďmi, ktorých používatelia už poznajú, AirDrop štandardne zobrazuje iba prijímacie zariadenia z kontaktov v adresári,“ uvádza sa v správe. "Na určenie, či je druhá strana kontakt, AirDrop používa mechanizmus vzájomnej autentifikácie, ktorý porovnáva telefónne číslo a e-mailovú adresu používateľa so záznamami v adresári druhého používateľa."

"Získanie upozornenia AirDrop od neznámeho jednotlivca je obrovská červená vlajka."

Zdá sa, že problém s používaním AirDrop na krádež údajov sa obmedzuje na telefónne čísla a e-mailové adresy, ktoré by mohli byť použité pri budúcich cielených phishingových útokoch, odborník na kybernetickú bezpečnosť Patrick Kelley povedal v e-mailovom rozhovore.

Jacob Ansari, bezpečnostný expert v Schellman & Company, globálny nezávislý hodnotiteľ bezpečnosti a ochrany súkromia, súhlasil s tým, že phishing by mohol byť cieľom všetkých potenciálnych hackerov.

„Útočník v blízkosti cieľového zariadenia môže veľmi ľahko získať používateľské meno (pravdepodobne e-mailovú adresu) a telefónne číslo,“ povedal v e-mailovom rozhovore. „Je to možno najužitočnejšie pri získavaní telefónneho čísla konkrétnej obete, ako je celebrita alebo konkrétny cieľ (napr. generálny riaditeľ spoločnosti), ale je tiež užitočný pri uskutočňovaní priameho phishingu alebo podobného útoku proti menej známym ľudia."

AirDrop, ako sa objavuje na MacBookoch so systémom Big Sur — Apple

Nie je to len nedávno objavená chyba, ktorá je problémom AirDrop. V priebehu rokov sa ukázalo, že anonymní používatelia môžu posielať fotografie alebo súbory do cieľových zariadení pomocou AirDrop.

"Toto bolo použité na narušenie verejných multimediálnych podujatí pomocou AirDropping [dospelých] obrázkov," povedal Kelley. "Na základe toho sa uskutočnila 'pozitívna kampaň', kde anonymní používatelia používali AirDropping motivačné obrázky na zacielenie na zariadenia."

Neprepadajte panike, hovoria odborníci

Ale nebojte sa príliš veľa o chybe AirDrop, Oliver Tavakoli, hlavný technologický riaditeľ spoločnosti kybernetickej bezpečnosti Vectra, povedal v e-mailovom rozhovore. Útočník sa musí nachádzať vo vašej relatívne tesnej blízkosti a na prelomenie vašej e-mailovej adresy a telefónneho čísla je potrebná určitá práca. Samozrejme, Apple môže a mal by túto chybu opraviť.

„Uchovajme si to však v perspektíve,“ dodal Tavakoli, „ak opísaný hack uspeje, útočník bude mať e-mailovú adresu a telefónne číslo blízkeho cudzinca. Nie je to presne koniec sveta."

Skupina ľudí, ktorí majú obchodné stretnutie — filadendron / Getty Images

Aj keď Apple ešte nevyriešil problém AirDrop, existujú veci, ktoré môžete urobiť, aby ste ho zmiernili. Používatelia by mali vypnúť AirDrop, ak sa nepoužíva, povedal Kelley. Môžete tiež zvážiť použitie open-source projekt s názvom PrivateDrop, ktorá tvrdí, že vyriešila proces overenia zoznamu kontaktov. Riešenie je zadarmo na použitie ako náhrada AirDrop.

Ale najlepšia vec, ktorú môžu používatelia urobiť, je dávať si pozor na to, kto sa im pokúša posielať súbory, povedal Schless.

"Získanie upozornenia AirDrop od neznámeho jednotlivca je masívna červená vlajka," dodal. „Spustite svoje mobilné zariadenia na zásade najmenej potrebného prístupu a privilégií. Aktívne sa snažte znížiť počet prístupových povolení k údajom a zariadeniam, ktoré svojim aplikáciám povoľujete, aby ste minimalizovali potenciálne vystavenie kybernetickým hrozbám.“