Key Takeaways
- AirDrop je odličan za slanje fotografija vašim prijateljima, ali nedavno otkrivena mana znači da i stranci mogu dobiti vaše kontakt informacije.
- Stranci bi mogli vidjeti vaš broj telefona i adresu e-pošte samo otvaranjem iOS ili macOS okna za dijeljenje unutar Wi-Fi dometa drugih ljudi.
- Pokazano je da anonimni korisnici mogu gurati fotografije ili fajlove na ciljane uređaje koristeći AirDrop.
Appleova funkcija AirDrop je zgodan način za dijeljenje stvari, ali također može predstavljati rizik za privatnost.
Nedavno otkrivena greška AirDrop-a omogućava strancima da vide vaš broj telefona i adresu e-pošte samo otvaranjem iOS ili macOS okna za dijeljenje unutar Wi-Fi dometa drugih ljudi. To je jedna od niza ranjivosti privatnosti za koje bi korisnici Mac-a i iOS-a trebali znati.
"Naši iOS uređaji povezani su s bezbroj aplikacija društvenih medija, platformama za razmjenu poruka trećih strana i mrežnim stranicama koje omogućavaju ljudima da jedni s drugima dijele sve vrste sadržaja," Hank Schless, stručnjak za sigurnost u kompaniji Lookout za kibernetičku sigurnost, rekao je u mejl intervjuu. "Ako dobijete bilo kakvu datoteku od nepoznatog kontakta, uvijek je treba tretirati kao potencijalno opasno dok se ne dokaže suprotno."
Apple šuti o popravci
Nedostatke u sigurnosnim protokolima za AirDrop navodno su otkrili istraživači 2019. godine, koji su Appleu obavijestili o problemu. Međutim, kompanija tek treba da ponudi rešenje. Nedavni rad otkrio je da je ovo pitanje opsežnije nego što se ranije znalo.
"Pošto se osjetljivi podaci obično dijele isključivo s ljudima koje korisnici već poznaju, AirDrop podrazumevano prikazuje samo prijemne uređaje iz kontakata u adresaru", navodi se u izvještaju. „Da bi utvrdio da li je druga strana kontakt, AirDrop koristi mehanizam za međusobnu autentifikaciju koji uspoređuje broj telefona i adresu e-pošte korisnika sa unosima u adresaru drugog korisnika."
Dobijanje AirDrop obavještenja od nepoznate osobe je ogromna crvena zastava.
Problem s korištenjem AirDropa za krađu podataka izgleda da je ograničen na telefonske brojeve i adrese e-pošte, koji bi se mogli koristiti u budućim ciljanim phishing napadima, rekao je stručnjak za kibernetičku sigurnost Patrick Kelley u intervjuu putem e-pošte.
Jacob Ansari, stručnjak za sigurnost u Schellman & Company, globalnom nezavisnom ocjenjivaču sigurnosti i privatnosti, složio se da bi krađa identiteta mogla biti cilj svih potencijalnih hakera.
"Napadač koji je u blizini ciljanog uređaja može vrlo lako dobiti korisničko ime (vjerovatno adresu e-pošte) i broj telefona", rekao je u intervjuu putem e-pošte. „Možda je najkorisniji za dobijanje telefonskog broja određene žrtve, kao što je slavna ličnost ili određena meta (npr. izvršni direktor kompanije), ali je takođe koristan u daljem pokretanju direktnijeg phishing ili sličnog napada na manje poznate ljude."
Nije samo nedavno otkrivena mana problem sa AirDropom. Tokom godina, pokazalo se da anonimni korisnici mogu gurati fotografije ili fajlove na ciljane uređaje koristeći AirDrop.
"Ovo je korišćeno za ometanje javnih multimedijalnih događaja od strane AirDropping [odraslih] slika", rekao je Kelley. "S obzirom na to, postojala je 'pozitivna kampanja' u kojoj su anonimni korisnici AirDropping motivacijske slike za ciljane uređaje."
Ne paničite, kažu stručnjaci
Ali ne brinite previše o grešci AirDrop-a, rekao je Oliver Tavakoli, glavni tehnološki službenik u firmi za sajber sigurnost Vectra, u intervjuu e-poštom. Napadač mora biti u relativno bliskoj fizičkoj blizini s vama, a potrebno je malo poraditi na probijanju vaše adrese e-pošte i broja telefona. Naravno, Apple može i treba da ispravi ovaj nedostatak.
"Međutim, zadržimo ovo u perspektivi", dodao je Tavakoli, "ako opisani hak uspije, napadač će imati adresu e-pošte i broj telefona obližnjeg stranca. Nije baš kraj svijeta."
Iako Apple još nije riješio problem AirDrop-a, postoje stvari koje možete učiniti kako biste ga ublažili. Korisnici bi trebali onemogućiti AirDrop ako se ne koristi, rekao je Kelley. Također biste mogli razmisliti o korištenju projekta otvorenog koda pod nazivom PrivateDrop, za koji se tvrdi da je riješio proces verifikacije liste kontakata. Rješenje je besplatno za korištenje kao AirDrop zamjena.
Ali najbolja stvar koju korisnici mogu učiniti je da paze ko pokušava da im pošalje fajlove, rekao je Schless.
"Dobijanje AirDrop obavještenja od nepoznate osobe je velika crvena zastavica", dodao je. "Pokrenite svoje mobilne uređaje na principu najmanje potrebnog pristupa i privilegija. Aktivno pokušavajte smanjiti broj dozvola za pristup podacima i uređajima koje dozvoljavate svojim aplikacijama kako biste sveli na najmanju moguću mjeru potencijalnu izloženost cyber prijetnjama."
