Ключови изводи
- AirDrop е страхотен за изпращане на снимки до вашите приятели, но наскоро открит пропуск означава, че непознати също могат да получат вашата информация за контакт.
- Непознати могат да видят вашия телефонен номер и имейл адрес само като отворят панел за споделяне на iOS или macOS в обхвата на Wi-Fi на други хора.
- Доказано е, че анонимните потребители могат да изпращат снимки или файлове към целеви устройства с помощта на AirDrop.
Функцията AirDrop на Apple е удобен начин за споделяне на неща, но също така може да представлява риск за поверителността.
Наскоро открит пропуск на AirDrop позволява на непознати да видят вашия телефонен номер и имейл адрес само чрез отваряне на панел за споделяне на iOS или macOS в обхвата на Wi-Fi на други хора. Това е една от гамата уязвимости в поверителността, за които потребителите на Mac и iOS трябва да знаят.
"Нашите устройства с iOS са свързани с безброй приложения за социални медии, платформи за съобщения на трети страни и мрежови сайтове, които позволяват на хората да споделят всякакъв вид съдържание помежду си", Ханк Шлес, експерт по сигурността във фирмата за киберсигурност Lookout, каза в интервю по имейл. „Ако получите някакъв файл от непознат контакт, винаги трябва да го третирате като потенциално опасен, докато не се докаже противното.“
Apple мълчи за поправка
Съобщава се, че пропуските в протоколите за сигурност за AirDrop са били открити през 2019 г. от изследователи, които са уведомили Apple за проблема. Компанията обаче все още не е предоставила решение. Скорошна статия установи, че проблемът е по-обширен от известното досега.
"Тъй като чувствителните данни обикновено се споделят изключително с хора, които потребителите вече познават, AirDrop показва по подразбиране само приемни устройства от контактите в адресната книга", се казва в доклада. „За да определи дали другата страна е контакт, AirDrop използва механизъм за взаимно удостоверяване, който сравнява телефонния номер и имейл адреса на потребителя със записи в адресната книга на другия потребител."
Получаването на известие за AirDrop от неизвестно лице е огромен червен флаг.
Проблемът с използването на AirDrop за кражба на данни изглежда е ограничен до телефонни номера и имейл адреси, които могат да бъдат използвани при бъдещи целенасочени фишинг атаки, каза експертът по киберсигурност Патрик Кели в интервю по имейл.
Джейкъб Ансари, експерт по сигурността в Schellman & Company, глобален независим оценител на съответствието на сигурността и поверителността, се съгласи, че фишингът може да бъде целта на всеки потенциален хакер.
"Нападател, който е в близост до целево устройство, може много лесно да получи потребителско име (вероятно имейл адрес) и телефонен номер", каза той в интервю по имейл. „Това е може би най-полезно за получаване на телефонния номер на конкретна жертва, като например знаменитост или конкретна цел (напр. главен изпълнителен директор на компания), но също така е полезно за организиране на по-директен фишинг или подобна атака срещу по-малко известни хора."
Не само наскоро откритият недостатък е проблем с AirDrop. През годините беше доказано, че анонимните потребители могат да изпращат снимки или файлове към целеви устройства с помощта на AirDrop.
"Това е използвано за прекъсване на обществени мултимедийни събития чрез AirDropping [възрастни] изображения", каза Кели. „Като се има предвид това, имаше „позитивна кампания“, при която анонимни потребители пускаха AirDropping мотивационни изображения за насочване към устройства.“
Без паника, казват експертите
Но не се тревожете твърде много за недостатъка на AirDrop, каза Оливър Таваколи, главен технологичен директор във фирмата за киберсигурност Vectra, в интервю по имейл. Нападателят трябва да е в сравнително близка физическа близост до вас и е необходима известна работа, за да се разбие вашият имейл адрес и телефонен номер. Разбира се, Apple може и трябва да коригира този недостатък.
"Въпреки това, нека запазим това в перспектива," добави Таваколи, "ако описаният хак успее, нападателят ще има имейл адреса и телефонния номер на непознат наблизо. Не е точно краят на света."
Въпреки че Apple все още не е отстранила проблема с AirDrop, има неща, които можете да направите, за да го смекчите. Потребителите трябва да деактивират AirDrop, ако не се използва, каза Кели. Можете също така да обмислите използването на проект с отворен код, наречен PrivateDrop, който твърди, че е разрешил процеса на проверка на списъка с контакти. Решението е безплатно за използване като заместител на AirDrop.
Но най-доброто нещо, което потребителите могат да направят, е да внимават кой се опитва да им изпрати файлове, каза Шлес.
"Получаването на известие за AirDrop от неизвестно лице е огромен червен флаг", добави той. „Пуснете мобилните си устройства на политика за най-малко необходими достъп и привилегии. Активно се опитвайте да намалите броя на разрешенията за достъп до данни и устройства, които позволявате на вашите приложения, за да сведете до минимум потенциалното излагане на киберзаплахи.“
