Kulcs elvitelek
- Az AirDrop kiválóan alkalmas arra, hogy fényképeket küldjön barátainak, de egy nemrégiben felfedezett hiba azt jelenti, hogy ismeretlenek is megkaphatják elérhetőségeit.
- Az idegenek láthatják telefonszámát és e-mail címét, ha megnyitnak egy iOS- vagy macOS-megosztási panelt mások Wi-Fi-tartományán belül.
- Bebizonyosodott, hogy az anonim felhasználók az AirDrop segítségével fényképeket vagy fájlokat küldhetnek céleszközökre.
Az Apple AirDrop funkciója praktikus módja a dolgok megosztásának, de egyben adatvédelmi kockázatot is jelenthet.
Egy nemrégiben felfedezett AirDrop-hiba lehetővé teszi, hogy idegenek láthassák telefonszámát és e-mail-címét, pusztán az iOS- vagy macOS-megosztási panel megnyitásával mások Wi-Fi-tartományán belül. Ez egyike azon adatvédelmi sérülékenységeknek, amelyekről a Mac és iOS felhasználóknak tudniuk kell.
"IOS-eszközeink számtalan közösségimédia-alkalmazáshoz, harmadik féltől származó üzenetküldő platformhoz és hálózati webhelyhez csatlakoznak, amelyek lehetővé teszik az emberek számára, hogy mindenféle tartalmat megosszanak egymással." Hank Schless, a Lookout kiberbiztonsági cég biztonsági szakértője, mondta egy e-mailes interjúban. "Ha bármilyen fájlt kap egy ismeretlen kapcsolattartótól, mindig potenciálisan veszélyesként kezelje, amíg az ellenkezőjét be nem bizonyítják."
Az Apple hallgat a javításról
Az AirDrop biztonsági protokolljainak hibáit állítólag 2019-ben tárták fel a kutatók, akik tájékoztatták az Apple-t a problémáról. A cégnek azonban még nem kell megoldást nyújtania. Egy nemrégiben megjelent cikk szerint a probléma kiterjedtebb a korábban ismertnél.
"Mivel az érzékeny adatokat jellemzően kizárólag olyan emberekkel osztják meg, akiket a felhasználók már ismernek, az AirDrop alapértelmezés szerint csak a címjegyzékben szereplő névjegyekből jeleníti meg a vevőkészülékeket" - áll a jelentésben. "Annak meghatározására, hogy a másik fél kapcsolattartó-e, az AirDrop egy kölcsönös hitelesítési mechanizmust használ, amely összehasonlítja a felhasználó telefonszámát és e-mail címét a másik felhasználó címjegyzékében lévő bejegyzésekkel."
Ha egy ismeretlen személytől AirDrop-értesítést kapunk, az hatalmas piros zászló.
Az AirDrop adatlopásra való használatának problémája a jelek szerint a telefonszámokra és e-mail-címekre korlátozódik, amelyek felhasználhatók a jövőbeni célzott adathalász támadásokhoz – mondta Patrick Kelley kiberbiztonsági szakértő egy e-mailes interjúban.
Jacob Ansari, a Schellman & Company biztonsági szakértője, egy globális független biztonsági és adatvédelmi megfelelőségi értékelő, egyetértett abban, hogy az adathalászat minden potenciális hacker célja lehet.
"A támadó, aki közel van a céleszközhöz, nagyon könnyen hozzájuthat egy felhasználónévhez (valószínűleg e-mail címhez) és telefonszámhoz" - mondta egy e-mailes interjúban. "Talán a leghasznosabb egy adott áldozat telefonszámának megszerzésében, például egy híresség vagy egy adott célpont (például egy cég vezérigazgatója) telefonszámának megszerzésében, de akkor is hasznos, ha közvetlenebb adathalászat vagy hasonló támadást indítanak kevésbé híres emberek ellen."
Nem csak a nemrég felfedezett hiba okozza az AirDrop problémáját. Az évek során bebizonyosodott, hogy a névtelen felhasználók az AirDrop segítségével fényképeket vagy fájlokat küldhetnek céleszközökre.
"Ezt a nyilvános multimédiás események megzavarására használták fel az AirDropping [felnőtteknek szánt] képei" - mondta Kelley. „Egyébként volt egy „pozitivitási kampány”, ahol névtelen felhasználók motivációs képeket küldtek az AirDroppingnak a megcélzott eszközökre.”
Ne essen pánikba, a szakértők szerint
De ne aggódj túl sokat az AirDrop hibája miatt – mondta Oliver Tavakoli, a Vectra kiberbiztonsági cég technológiai igazgatója egy e-mailes interjúban. A támadónak viszonylag közel kell lennie Önhöz, és némi munkára van szükség az e-mail címének és telefonszámának feltöréséhez. Természetesen az Apple kijavíthatja és ki is kell javítania ezt a hibát.
"Azonban ezt tartsuk szem előtt - tette hozzá Tavakoli -, ha a leírt hack sikeres lesz, a támadó birtokában lesz egy közeli idegen e-mail címe és telefonszáma. Nem éppen a világ vége."
Bár az Apple még nem javította ki az AirDrop problémát, vannak dolgok, amelyekkel enyhítheti azt. A felhasználóknak le kell tiltaniuk az AirDrop-ot, ha nem használják, mondta Kelley. Megfontolhatja a PrivateDrop nevű nyílt forráskódú projekt használatát is, amely azt állítja, hogy megoldotta a névjegyzék-ellenőrzési folyamatot. A megoldás ingyenesen használható AirDrop csereként.
De a legjobb, amit a felhasználók tehetnek, ha vigyáznak, hogy ki próbál fájlokat küldeni nekik – mondta Schless.
"AirDrop-értesítést kapni egy ismeretlen személytől, az hatalmas piros zászló" - tette hozzá. "Futtassa mobileszközeit a legkevésbé szükséges hozzáférési és jogosultságok szabályai szerint. Aktívan próbálja csökkenteni az alkalmazások számára engedélyezett adat- és eszköz-hozzáférési engedélyek számát, hogy minimálisra csökkentse a kiberfenyegetéseknek való kitettséget."