Atslēgas līdzņemšanai
- AirDrop ir lieliski piemērots fotoattēlu sūtīšanai draugiem, taču nesen atklāta kļūda nozīmē, ka arī svešinieki var iegūt jūsu kontaktinformāciju.
- Svešinieki var redzēt jūsu tālruņa numuru un e-pasta adresi, vienkārši atverot iOS vai macOS koplietošanas rūti citu personu Wi-Fi diapazonā.
- Ir pierādīts, ka anonīmi lietotāji var nosūtīt fotoattēlus vai failus mērķa ierīcēm, izmantojot AirDrop.
Apple AirDrop funkcija ir ērts veids, kā kopīgot saturu, taču tas var arī apdraudēt privātumu.
Nesen atklātais AirDrop trūkums ļauj svešiniekiem redzēt jūsu tālruņa numuru un e-pasta adresi, vienkārši atverot iOS vai macOS koplietošanas rūti citu personu Wi-Fi diapazonā. Tā ir viena no privātuma ievainojamībām, par kurām Mac un iOS lietotājiem būtu jāzina.
"Mūsu iOS ierīces ir savienotas ar neskaitāmām sociālo mediju lietotnēm, trešo pušu ziņojumapmaiņas platformām un tīklošanas vietnēm, kas ļauj cilvēkiem dalīties ar visa veida saturu," sacīja Henks Šless, kiberdrošības uzņēmuma Lookout drošības eksperts., teikts e-pasta intervijā. "Ja saņemat jebkāda veida failu no nezināmas kontaktpersonas, tas vienmēr jāuzskata par potenciāli bīstamu, kamēr nav pierādīts pretējais."
Apple klusē par labojumu
Kā ziņots, ka AirDrop drošības protokolu nepilnības atklāja pētnieki 2019. gadā, informējot Apple par šo problēmu. Tomēr uzņēmumam vēl ir jāsniedz risinājums. Nesenā rakstā tika atklāts, ka problēma ir plašāka nekā iepriekš zināms.
"Tā kā sensitīvie dati parasti tiek koplietoti tikai ar lietotājiem, kurus lietotāji jau pazīst, AirDrop pēc noklusējuma parāda tikai uztvērēja ierīces no adrešu grāmatas kontaktpersonām," teikts ziņojumā. "Lai noteiktu, vai otra puse ir kontaktpersona, AirDrop izmanto savstarpēju autentifikācijas mehānismu, kas salīdzina lietotāja tālruņa numuru un e-pasta adresi ar ierakstiem otra lietotāja adrešu grāmatā."
AirDrop paziņojuma saņemšana no nezināmas personas ir liels sarkans karogs.
Šķiet, ka problēma ar AirDrop izmantošanu datu zādzībām attiecas tikai uz tālruņu numuriem un e-pasta adresēm, kuras varētu izmantot turpmākos mērķtiecīgos pikšķerēšanas uzbrukumos, e-pasta intervijā sacīja kiberdrošības eksperts Patriks Kellijs.
Jēkabs Ansari, globāla neatkarīga drošības un privātuma atbilstības novērtētāja Schellman & Company drošības eksperts, piekrita, ka pikšķerēšana varētu būt jebkura potenciālā hakera mērķis.
"Uzbrucējs, kas atrodas tuvu mērķa ierīcei, var ļoti viegli iegūt lietotājvārdu (iespējams, e-pasta adresi) un tālruņa numuru," viņš teica e-pasta intervijā. "Iespējams, tas ir visnoderīgākais, lai iegūtu konkrēta upura, piemēram, slavenības vai konkrēta mērķa (piemēram, uzņēmuma izpilddirektora) tālruņa numuru, bet noder arī, lai pēc tam veiktu tiešāku pikšķerēšanas vai līdzīgu uzbrukumu mazāk slaveniem cilvēkiem."
AirDrop problēma nav tikai nesen atklātais trūkums. Gadu gaitā ir pierādīts, ka anonīmi lietotāji var nosūtīt fotoattēlus vai failus mērķa ierīcēm, izmantojot AirDrop.
"Tas ir izmantots, lai izjauktu publiskus multivides pasākumus ar AirDropping [pieaugušajiem] attēliem," sacīja Kellijs. "Tā teikt, bija "pozitīvā kampaņa", kurā anonīmi lietotāji AirDropping motivēja attēlus mērķa ierīcēm."
Nekrītiet panikā, saka eksperti
Bet neuztraucieties pārāk daudz par AirDrop trūkumu, e-pasta intervijā sacīja Olivers Tavakoli, kiberdrošības uzņēmuma Vectra galvenais tehnoloģiju speciālists. Uzbrucējam ir jāatrodas relatīvi tuvu jums, un ir jāveic zināms darbs, lai uzlauztu jūsu e-pasta adresi un tālruņa numuru. Protams, Apple var un tai vajadzētu novērst šo trūkumu.
"Tomēr paturēsim to perspektīvā," piebilda Tavakoli, "ja aprakstītā uzlaušana izdosies, uzbrucējam būs tuvumā esošā svešinieka e-pasta adrese un tālruņa numurs. Nav gluži pasaules gals."
Lai gan Apple vēl nav novērsis AirDrop problēmu, ir lietas, ko varat darīt, lai palīdzētu to mazināt. Lietotājiem vajadzētu atspējot AirDrop, ja tas netiek izmantots, sacīja Kellijs. Varat arī apsvērt iespēju izmantot atvērtā pirmkoda projektu ar nosaukumu PrivateDrop, kas apgalvo, ka ir atrisinājis kontaktpersonu saraksta verifikācijas procesu. Risinājumu var bez maksas izmantot kā AirDrop aizstājēju.
Bet labākais, ko lietotāji var darīt, ir uzmanīties no tā, kurš mēģina viņiem nosūtīt failus, sacīja Šless.
"AirDrop paziņojuma saņemšana no nezināmas personas ir milzīgs sarkanais karogs," viņš piebilda. "Izmantojiet savas mobilās ierīces, ievērojot vismazāk nepieciešamās piekļuves un privilēģiju politiku. Aktīvi mēģiniet samazināt lietotnēm piešķirto datu un ierīču piekļuves atļauju skaitu, lai samazinātu iespējamo kiberdraudu risku."
