ทำไม AirDrop อาจไม่ใช่ AirTight

แอปเปิ้ล คุณสมบัติ AirDrop เป็นวิธีที่สะดวกในการแชร์สิ่งต่างๆ แต่ก็อาจเป็นความเสี่ยงด้านความเป็นส่วนตัวได้เช่นกัน

ข้อบกพร่อง AirDrop ที่เพิ่งค้นพบทำให้คนแปลกหน้าเห็นหมายเลขโทรศัพท์และที่อยู่อีเมลของคุณเพียงแค่เปิดบานหน้าต่างการแชร์ iOS หรือ macOS ภายในช่วง Wi-Fi ของบุคคลอื่น เป็นหนึ่งในช่องโหว่ด้านความเป็นส่วนตัวที่ผู้ใช้ Mac และ iOS ควรรู้

"อุปกรณ์ iOS ของเราเชื่อมต่อกับแอปโซเชียลมีเดีย แพลตฟอร์มการส่งข้อความของบุคคลที่สาม และ ไซต์เครือข่ายที่อนุญาตให้ผู้คนแบ่งปันเนื้อหาทุกประเภทซึ่งกันและกัน" Hank Schless หน่วยงานรักษาความปลอดภัย ผู้เชี่ยวชาญที่ บริษัทรักษาความปลอดภัยทางไซเบอร์ Lookoutกล่าวในการสัมภาษณ์ทางอีเมล "หากคุณได้รับไฟล์ประเภทใดก็ตามจากผู้ติดต่อที่ไม่รู้จัก คุณควรปฏิบัติต่อไฟล์ดังกล่าวว่าอาจเป็นอันตราย จนกว่าจะได้รับการพิสูจน์เป็นอย่างอื่น"

Apple นิ่งเงียบในการแก้ไข

ข้อบกพร่องในโปรโตคอลความปลอดภัยสำหรับ AirDrop ถูกเปิดเผยในปี 2019 โดยนักวิจัยซึ่งแจ้งให้ Apple ทราบเกี่ยวกับปัญหา อย่างไรก็ตาม บริษัทยังไม่ได้จัดหาวิธีแก้ปัญหา NS กระดาษล่าสุด พบว่าปัญหามีขอบเขตกว้างขวางกว่าที่เคยทราบกันดีอยู่แล้ว

"เนื่องจากโดยทั่วไปข้อมูลที่ละเอียดอ่อนจะถูกแชร์เฉพาะกับผู้ที่ผู้ใช้รู้จักอยู่แล้ว AirDrop จะแสดงเฉพาะอุปกรณ์รับสัญญาณจากรายชื่อติดต่อในสมุดที่อยู่โดยค่าเริ่มต้น" รายงานระบุ "ในการตรวจสอบว่าอีกฝ่ายเป็นผู้ติดต่อหรือไม่ AirDrop ใช้กลไกการตรวจสอบร่วมกันที่เปรียบเทียบหมายเลขโทรศัพท์และที่อยู่อีเมลของผู้ใช้กับรายการในสมุดที่อยู่ของผู้ใช้รายอื่น"

ปัญหาเกี่ยวกับการใช้ AirDrop ในการโจรกรรมข้อมูลดูเหมือนจะจำกัดอยู่ที่หมายเลขโทรศัพท์และที่อยู่อีเมล ซึ่งสามารถนำไปใช้ในการโจมตีแบบฟิชชิ่งแบบกำหนดเป้าหมายในอนาคตได้ Patrick Kelley ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ กล่าวในการสัมภาษณ์ทางอีเมล

Jacob Ansari ผู้เชี่ยวชาญด้านความปลอดภัยที่ Schellman & Companyซึ่งเป็นผู้ประเมินความปลอดภัยและการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวอิสระระดับโลก เห็นด้วยว่าฟิชชิ่งอาจเป็นเป้าหมายของแฮ็กเกอร์ที่อาจเป็นไปได้

“ผู้โจมตีที่อยู่ใกล้กับอุปกรณ์เป้าหมายสามารถรับชื่อผู้ใช้ (อาจเป็นที่อยู่อีเมล) และหมายเลขโทรศัพท์ได้อย่างง่ายดายมาก” เขากล่าวในการสัมภาษณ์ทางอีเมล “มันอาจจะมีประโยชน์มากที่สุดในการรับหมายเลขโทรศัพท์ของเหยื่อรายใดรายหนึ่ง เช่น คนดังหรือเป้าหมายโดยเฉพาะ (เช่น CEO ของบริษัท) แต่ยังมีประโยชน์ในการติดตั้งฟิชชิ่งโดยตรงหรือการโจมตีที่คล้ายกันกับผู้มีชื่อเสียงน้อยกว่า ผู้คน."

ไม่ใช่แค่ข้อบกพร่องที่เพิ่งค้นพบซึ่งเป็นปัญหากับ AirDrop หลายปีที่ผ่านมา มีการแสดงให้เห็นว่าผู้ใช้ที่ไม่ระบุตัวตนสามารถส่งรูปภาพหรือไฟล์ไปยังอุปกรณ์เป้าหมายโดยใช้ AirDrop

"สิ่งนี้ถูกใช้เพื่อขัดขวางกิจกรรมมัลติมีเดียสาธารณะด้วยภาพ AirDropping [ผู้ใหญ่]" Kelley กล่าว "อย่างที่กล่าวไปแล้ว มี 'แคมเปญเชิงบวก' ที่ผู้ใช้ที่ไม่ระบุตัวตนใช้ภาพสร้างแรงบันดาลใจ AirDropping ไปยังอุปกรณ์เป้าหมาย"

อย่าตกใจผู้เชี่ยวชาญพูด

แต่อย่ากังวลมากเกินไปเกี่ยวกับข้อบกพร่องของ AirDrop Oliver Tavakoli หัวหน้าเจ้าหน้าที่เทคโนโลยีของ บริษัทรักษาความปลอดภัยทางไซเบอร์ Vectraกล่าวในการสัมภาษณ์ทางอีเมล ผู้โจมตีจะต้องอยู่ใกล้กับคุณและมีงานบางอย่างที่จำเป็นในการถอดรหัสที่อยู่อีเมลและหมายเลขโทรศัพท์ของคุณ แน่นอน Apple สามารถและควรแก้ไขข้อบกพร่องนี้

“อย่างไรก็ตาม ขอให้มองในแง่ดี” Tavakoli กล่าวเสริม “หากการแฮ็กที่อธิบายไว้สำเร็จ ผู้โจมตีจะมีที่อยู่อีเมลและหมายเลขโทรศัพท์ของคนแปลกหน้าในบริเวณใกล้เคียง ไม่ใช่จุดจบของโลกอย่างแน่นอน”

แม้ว่า Apple จะยังไม่ได้แก้ไขปัญหา AirDrop แต่ก็มีบางสิ่งที่คุณสามารถทำได้เพื่อช่วยบรรเทาปัญหาดังกล่าว ผู้ใช้ควรปิดการใช้งาน AirDrop หากไม่ได้ใช้งาน Kelley กล่าว คุณยังสามารถพิจารณาใช้ an โครงการโอเพ่นซอร์สชื่อPrivateDropซึ่งอ้างว่าได้แก้ไขกระบวนการตรวจสอบรายชื่อผู้ติดต่อแล้ว โซลูชันนี้ใช้แทน AirDrop ได้ฟรี

แต่สิ่งที่ดีที่สุดที่ผู้ใช้สามารถทำได้คือระวังว่าใครกำลังพยายามส่งไฟล์ให้พวกเขา Schless กล่าว

"การรับการแจ้งเตือน AirDrop จากบุคคลที่ไม่รู้จักเป็นธงสีแดงขนาดใหญ่" เขากล่าวเสริม "เรียกใช้อุปกรณ์มือถือของคุณด้วยนโยบายการเข้าถึงและสิทธิพิเศษที่จำเป็นน้อยที่สุด พยายามลดจำนวนข้อมูลและการอนุญาตการเข้าถึงอุปกรณ์ที่คุณอนุญาตให้แอปของคุณมีเพื่อลดความเสี่ยงต่อการถูกคุกคามทางไซเบอร์ให้น้อยที่สุด"