Võtmed kaasavõtmiseks
- AirDrop sobib suurepäraselt sõpradele fotode saatmiseks, kuid hiljuti avastatud viga tähendab, et ka võõrad võivad teie kontaktteavet kätte saada.
- Võõrad näevad teie telefoninumbrit ja e-posti aadressi lihts alt iOS-i või macOS-i jagamispaani avamisel teiste inimeste WiFi levialas.
- On näidatud, et anonüümsed kasutajad saavad AirDropi abil fotosid või faile sihtseadmetesse lükata.
Apple'i funktsioon AirDrop on mugav viis asjade jagamiseks, kuid see võib olla ka privaatsusrisk.
Hiljuti avastatud AirDropi viga võimaldab võõrastel näha teie telefoninumbrit ja e-posti aadressi, lihts alt avades iOS-i või macOS-i jagamispaani teiste inimeste WiFi levialas. See on üks paljudest privaatsushaavatavustest, millest Maci ja iOS-i kasutajad peaksid teadma.
"Meie iOS-i seadmed on ühendatud lugematute sotsiaalmeediarakenduste, kolmandate osapoolte sõnumsideplatvormide ja võrgusaitidega, mis võimaldavad inimestel igasugust sisu üksteisega jagada," ütles Hank Schless, küberturbefirma Lookout turbeekspert., ütles meiliintervjuus. "Kui saate tundmatult kontaktilt mis tahes faili, peaksite seda alati käsitlema potentsiaalselt ohtlikuna, kuni pole tõestatud vastupidist."
Apple vaikib parandusest
AirDropi turvaprotokollide vead avastasid väidetav alt 2019. aastal teadlased, kes andsid Apple'ile probleemist teada. Siiski ei ole ettevõte veel lahendust pakkunud. Hiljutises artiklis leiti, et probleem on ulatuslikum kui varem teada.
"Kuna tundlikke andmeid jagatakse tavaliselt ainult inimestega, keda kasutajad juba teavad, näitab AirDrop vaikimisi ainult aadressiraamatu kontaktide vastuvõtjaseadmeid," seisab aruandes. "Selleks, et teha kindlaks, kas teine osapool on kontakt, kasutab AirDrop vastastikust autentimismehhanismi, mis võrdleb kasutaja telefoninumbrit ja e-posti aadressi teise kasutaja aadressiraamatu kirjetega."
Tundmatult isikult AirDropi teatise saamine on tohutu punane lipp.
Probleem AirDropi kasutamisel andmevargusteks näib olevat piiratud telefoninumbrite ja e-posti aadressidega, mida võidakse tulevastes sihitud andmepüügirünnakutes kasutada, ütles küberturvalisuse ekspert Patrick Kelley meiliintervjuus.
Jacob Ansari, ülemaailmse sõltumatu turvalisuse ja privaatsuse vastavuse hindaja Schellman & Company turbeekspert, nõustus, et andmepüük võib olla kõigi potentsiaalsete häkkerite eesmärk.
"Sihtseadmele lähedal olev ründaja saab kasutajanime (tõenäoliselt meiliaadressi) ja telefoninumbri väga lihts alt kätte," ütles ta meiliintervjuus. "See on võib-olla kõige kasulikum konkreetse ohvri, näiteks kuulsuse või konkreetse sihtmärgi (nt ettevõtte tegevjuhi) telefoninumbri hankimisel, kuid on kasulik ka otsesema andmepüügi või sarnase rünnaku korraldamisel vähem tuntud inimeste vastu."
AirDropi probleem pole ainult hiljuti avastatud viga. Aastate jooksul on näidatud, et anonüümsed kasutajad saavad AirDropi abil fotosid või faile sihtseadmetesse suunata.
"Seda on kasutatud avalike multimeediumisündmuste katkestamiseks AirDroppingu [täiskasvanutele mõeldud] piltidega," ütles Kelley. "Sellest hoolimata toimus "positiivsuse kampaania", kus anonüümsed kasutajad suunasid AirDroppingu seadmetele motiveerivaid pilte."
Ära paanitse, eksperdid ütlevad
Aga ärge muretsege liiga palju AirDropi vea pärast, ütles küberjulgeolekufirma Vectra tehnoloogiajuht Oliver Tavakoli meiliintervjuus. Ründaja peab olema teie füüsiliselt suhteliselt lähedal ning teie e-posti aadressi ja telefoninumbri murdmiseks tuleb teha tööd. Muidugi saab ja peaks Apple selle vea parandama.
"Hoidkem seda siiski perspektiivis," lisas Tavakoli, "kui kirjeldatud häkkimine õnnestub, saab ründaja läheduses oleva võõra e-posti aadressi ja telefoninumbri. Mitte just maailmalõpp."
Kuigi Apple pole AirDropi probleemi veel lahendanud, saate selle leevendamiseks teha asju. Kelley ütles, et kasutajad peaksid AirDropi keelama, kui seda ei kasutata. Samuti võiksite kaaluda avatud lähtekoodiga projekti nimega PrivateDrop kasutamist, mis väidetav alt on lahendanud kontaktiloendi kinnitamise protsessi. Lahendust saab tasuta kasutada AirDropi asendusena.
Kuid parim, mida kasutajad teha saavad, on olla ettevaatlik selle suhtes, kes neile faile saata üritab, ütles Schless.
"Tundmatult isikult AirDropi teatise saamine on tohutu punane lipp," lisas ta. "Käitage oma mobiilseadmeid kõige vähem vajaliku juurdepääsu ja privileegide reeglite alusel. Püüdke aktiivselt vähendada andmete ja seadmetele juurdepääsulubade arvu, mille oma rakendustele lubate, et minimeerida võimalikku kokkupuudet küberohtudega."