Ključni podaci za van
- AirDrop je izvrstan za slanje fotografija vašim prijateljima, ali nedavno otkriveni nedostatak znači da bi i stranci mogli dobiti vaše podatke za kontakt.
- Stranci bi mogli vidjeti vaš telefonski broj i adresu e-pošte samo otvaranjem iOS ili macOS okna za dijeljenje unutar Wi-Fi dometa drugih ljudi.
- Pokazano je da anonimni korisnici mogu poslati fotografije ili datoteke na ciljane uređaje pomoću AirDropa.
Appleova značajka AirDrop zgodan je način za dijeljenje stvari, ali može predstavljati i rizik za privatnost.
Nedavno otkrivena mana AirDropa omogućuje strancima da vide vaš telefonski broj i adresu e-pošte jednostavnim otvaranjem iOS ili macOS okna za dijeljenje unutar Wi-Fi dometa drugih ljudi. To je jedna od niza ranjivosti privatnosti za koje bi korisnici Maca i iOS-a trebali znati.
"Naši iOS uređaji povezani su s bezbrojnim aplikacijama društvenih medija, platformama za razmjenu poruka trećih strana i mrežnim stranicama koje omogućuju ljudima da međusobno dijele sve vrste sadržaja, " Hank Schless, sigurnosni stručnjak u tvrtki za kibernetičku sigurnost Lookout, rekao je u intervjuu e-poštom. "Ako primite bilo kakvu datoteku od nepoznatog kontakta, uvijek je trebate tretirati kao potencijalno opasnu dok se ne dokaže suprotno."
Apple šuti o popravku
Propuste u sigurnosnim protokolima za AirDrop navodno su 2019. otkrili istraživači, koji su obavijestili Apple o problemu. Međutim, tvrtka tek treba ponuditi rješenje. Nedavni rad otkrio je da je problem opsežniji nego što se dosad znalo.
"Budući da se osjetljivi podaci obično dijele isključivo s ljudima koje korisnici već poznaju, AirDrop prema zadanim postavkama prikazuje samo prijemne uređaje iz kontakata iz adresara", navodi se u izvješću. "Kako bi se utvrdilo je li druga strana kontakt, AirDrop koristi mehanizam međusobne provjere autentičnosti koji uspoređuje telefonski broj i adresu e-pošte korisnika s unosima u imeniku drugog korisnika."
Dobivanje AirDrop obavijesti od nepoznate osobe velika je zastava.
Čini se da je problem s korištenjem AirDropa za krađu podataka ograničen na telefonske brojeve i adrese e-pošte, koji bi se mogli koristiti u budućim ciljanim phishing napadima, rekao je stručnjak za kibernetičku sigurnost Patrick Kelley u intervjuu putem e-pošte.
Jacob Ansari, sigurnosni stručnjak u tvrtki Schellman & Company, globalnoj neovisnoj procjenitelji usklađenosti sigurnosti i privatnosti, slaže se da bi krađa identiteta mogla biti cilj svih potencijalnih hakera.
"Napadač koji je blizu ciljnog uređaja može vrlo lako dobiti korisničko ime (vjerojatno adresu e-pošte) i telefonski broj", rekao je u intervjuu putem e-pošte. "Možda je najkorisniji za dobivanje telefonskog broja određene žrtve, kao što je slavna osoba ili određena meta (npr. izvršni direktor tvrtke), ali je također koristan za postavljanje izravnijeg krađe identiteta ili sličnog napada na manje poznate osobe."
Nije samo nedavno otkrivena greška problem s AirDropom. Tijekom godina pokazalo se da anonimni korisnici mogu slati fotografije ili datoteke na ciljane uređaje koristeći AirDrop.
"Ovo je korišteno za ometanje javnih multimedijskih događaja AirDroppingom [za odrasle] slikama", rekao je Kelley. "S obzirom na to, postojala je 'pozitivna kampanja' u kojoj su anonimni korisnici slali motivacijske slike AirDroppingom na ciljane uređaje."
Ne paničarite, kažu stručnjaci
Ali ne brinite previše o nedostatku AirDropa, rekao je Oliver Tavakoli, glavni tehnološki direktor tvrtke za kibernetičku sigurnost Vectra, u intervjuu e-poštom. Napadač mora biti u vašoj relativno neposrednoj fizičkoj blizini, a potreban je i određeni rad da bi se provalila vaša adresa e-pošte i telefonski broj. Naravno, Apple može i treba popraviti ovaj nedostatak.
"Međutim, zadržimo ovo u perspektivi," dodao je Tavakoli, "ako opisano hakiranje uspije, napadač će imati adresu e-pošte i broj telefona stranca u blizini. Nije baš kraj svijeta."
Iako Apple još nije riješio problem s AirDropom, postoje stvari koje možete učiniti kako biste ga ublažili. Korisnici bi trebali onemogućiti AirDrop ako se ne koristi, rekao je Kelley. Također biste mogli razmisliti o korištenju projekta otvorenog koda pod nazivom PrivateDrop, koji tvrdi da je riješio postupak provjere popisa kontakata. Rješenje je besplatno za korištenje kao zamjena za AirDrop.
Ali najbolja stvar koju korisnici mogu učiniti je biti oprezan oko toga tko im pokušava poslati datoteke, rekao je Schless.
"Dobivanje obavijesti o AirDropu od nepoznate osobe velika je zastava", dodao je. "Pokrenite svoje mobilne uređaje prema politici najmanje potrebnog pristupa i privilegija. Aktivno pokušajte smanjiti broj dozvola za pristup podacima i uređaju koje dopuštate svojim aplikacijama kako biste smanjili potencijalnu izloženost cyber prijetnjama."