Зашто АирДроп можда није херметички затворен

December 02, 2021
УВести Интернет и безбедност

Кључне Такеаваис

АирДроп је одличан за слање фотографија вашим пријатељима, али недавно откривена мана значи да и странци могу добити ваше контакт информације.
Странци би могли да виде ваш број телефона и адресу е-поште само отварањем иОС или мацОС окна за дељење унутар Ви-Фи опсега других људи.
Показало се да анонимни корисници могу да гурају фотографије или датотеке на циљане уређаје користећи АирДроп.

Концепт дељења МацБоок датотека на табли — фатидо / Гетти Имагес

Аппле'с Функција АирДроп је згодан начин за дељење ствари, али такође може представљати ризик за приватност.

Недавно откривена грешка АирДроп-а омогућава странцима да виде ваш број телефона и адресу е-поште само отварањем иОС или мацОС окна за дељење унутар Ви-Фи опсега других људи. То је једна од низа рањивости приватности за које би Мац и иОС корисници требали знати.

„Наши иОС уређаји су повезани са безброј апликација друштвених медија, платформама за размену порука трећих страна и сајтови за умрежавање који омогућавају људима да деле све врсте садржаја једни са другима“, Хенк Шлес, обезбеђење стручњак за

фирма за сајбер безбедност Лоокоут, рекао је у интервјуу мејлом. „Ако добијете било какву датотеку од непознатог контакта, увек треба да је третирате као потенцијално опасну док се не докаже супротно.“

Аппле не говори о поправци

Истраживачи су наводно открили недостатке у сигурносним протоколима за АирДроп 2019. године, који су Аппле-у обавијестили о проблему. Међутим, компанија тек треба да понуди решење. А новији рад утврдио да је проблем опширнији него што је раније познато.

„Пошто се осетљиви подаци обично деле искључиво са људима које корисници већ познају, АирДроп подразумевано приказује само пријемне уређаје из контаката у адресару“, наводи се у извештају. „Да би утврдио да ли је друга страна контакт, АирДроп користи механизам за међусобну аутентификацију који упоређује број телефона и адресу е-поште корисника са уносима у адресару другог корисника.

„Добијање АирДроп обавештења од непознате особе је велика црвена застава.“

Чини се да је проблем са коришћењем АирДроп-а за крађу података ограничен на бројеве телефона и адресе е-поште, који би се могли користити у будућим циљаним пхисхинг нападима, стручњак за сајбер безбедност Патрик Кели рекао је у интервјуу мејлом.

Јацоб Ансари, стручњак за безбедност у Сцхеллман & Цомпани, глобални независни проценитељ усклађености безбедности и приватности, сложио се да би пхисхинг могао бити циљ свих потенцијалних хакера.

„Нападач који је у близини циљаног уређаја може веома лако да добије корисничко име (вероватно адресу е-поште) и број телефона“, рекао је он у интервјуу е-поштом. „Можда је најкорисније за добијање броја телефона одређене жртве, као што је славна личност или одређена мета. (нпр., генерални директор компаније), али је такође користан у даљем покретању директнијег пхисхинг-а или сличног напада на мање познате људи."

АирДроп како се појављује на МацБоок рачунарима који користе Биг Сур — Аппле

Није само недавно откривена мана проблем са АирДропом. Током година, показало се да анонимни корисници могу да гурају фотографије или датотеке на циљане уређаје користећи АирДроп.

„Ово је коришћено за ометање јавних мултимедијалних догађаја помоћу АирДроппинг слика [за одрасле]“, рекао је Кели. "С обзиром на то, постојала је 'позитивна кампања' у којој су анонимни корисници користили АирДроппинг мотивационе слике за циљане уређаје."

Не паничите, кажу стручњаци

Али не брините превише о грешци АирДропа, Оливер Таваколи, главни технолошки директор у фирма за сајбер безбедност Вецтра, рекао је у интервјуу мејлом. Нападач мора бити у релативно блиској физичкој близини са вама, а потребно је мало порадити да би се провалила ваша адреса е-поште и број телефона. Наравно, Аппле може и треба да поправи овај недостатак.

„Међутим, хајде да ово задржимо у перспективи“, додао је Таваколи, „ако описани хак успе, нападач ће имати адресу е-поште и телефонски број странца у близини. Није баш крај света."

Група људи на пословном састанку — филадендрон / Гетти Имагес

Иако Аппле још није решио проблем са АирДроп-ом, постоје ствари које можете да урадите да бисте га ублажили. Корисници би требало да онемогуће АирДроп ако се не користи, рекао је Келлеи. Такође можете размислити о коришћењу пројекат отвореног кода под називом ПриватеДроп, који тврди да је решио процес верификације листе контаката. Решење је бесплатно за коришћење као замена за АирДроп.

Али најбоља ствар коју корисници могу да ураде је да буду опрезни ко покушава да им пошаље датотеке, рекао је Шлес.

„Добијање АирДроп обавештења од непознате особе је велика црвена застава“, додао је он. „Покрените своје мобилне уређаје према политици најмање потребног приступа и привилегија. Активно покушајте да смањите број дозвола за приступ подацима и уређајима које дозвољавате вашим апликацијама како бисте свели на минимум потенцијалну изложеност сајбер претњама."