Kľúčové poznatky
- AirDrop je skvelý na posielanie fotiek vašim priateľom, no nedávno objavený nedostatok znamená, že vaše kontaktné informácie môžu získať aj neznámi ľudia.
- Cudzinci uvidia vaše telefónne číslo a e-mailovú adresu jednoduchým otvorením podokna zdieľania iOS alebo macOS v dosahu Wi-Fi iných ľudí.
- Ukázalo sa, že anonymní používatelia môžu posielať fotografie alebo súbory do cieľových zariadení pomocou AirDrop.
Funkcia AirDrop od Apple je praktický spôsob zdieľania vecí, no môže predstavovať aj riziko pre súkromie.
Nedávno objavená chyba AirDrop umožňuje neznámym ľuďom vidieť vaše telefónne číslo a e-mailovú adresu jednoduchým otvorením podokna zdieľania iOS alebo macOS v dosahu Wi-Fi iných ľudí. Je to jedna z radu chýb zabezpečenia ochrany osobných údajov, o ktorých by používatelia počítačov Mac a iOS mali vedieť.
„Naše zariadenia so systémom iOS sú prepojené s nespočetnými aplikáciami sociálnych médií, platformami na odosielanie správ tretích strán a sieťovými stránkami, ktoré ľuďom umožňujú navzájom zdieľať najrôznejšie druhy obsahu,“Hank Schless, bezpečnostný expert spoločnosti Lookout v oblasti kybernetickej bezpečnosti, povedal v e-mailovom rozhovore. "Ak dostanete akýkoľvek druh súboru od neznámeho kontaktu, mali by ste s ním vždy zaobchádzať ako s potenciálne nebezpečným, kým sa nepreukáže opak."
Apple mlčí o oprave
Chyby v bezpečnostných protokoloch pre AirDrop boli údajne odhalené v roku 2019 výskumníkmi, ktorí o probléme informovali Apple. Spoločnosť však zatiaľ neposkytla riešenie. Nedávny dokument zistil, že problém je rozsiahlejší, než sa predtým vedelo.
„Keďže citlivé údaje sa zvyčajne zdieľajú výlučne s ľuďmi, ktorých už používatelia poznajú, AirDrop štandardne zobrazuje iba prijímacie zariadenia z kontaktov v adresári,“uvádza sa v správe. „Na určenie, či je druhá strana kontakt, používa AirDrop mechanizmus vzájomnej autentifikácie, ktorý porovnáva telefónne číslo a e-mailovú adresu používateľa so záznamami v adresári druhého používateľa."
Získanie upozornenia AirDrop od neznámeho jednotlivca je obrovská červená vlajka.
Zdá sa, že problém s používaním AirDrop na krádež údajov sa obmedzuje na telefónne čísla a e-mailové adresy, ktoré by mohli byť použité pri budúcich cielených phishingových útokoch, uviedol v e-mailovom rozhovore expert na kybernetickú bezpečnosť Patrick Kelley.
Jacob Ansari, bezpečnostný expert zo spoločnosti Schellman & Company, globálneho nezávislého hodnotiteľa bezpečnosti a ochrany súkromia, súhlasil s tým, že phishing by mohol byť cieľom všetkých potenciálnych hackerov.
„Útočník v blízkosti cieľového zariadenia môže veľmi ľahko získať používateľské meno (pravdepodobne e-mailovú adresu) a telefónne číslo,“povedal v e-mailovom rozhovore. „Je to možno najužitočnejšie pri získavaní telefónneho čísla konkrétnej obete, ako je celebrita alebo konkrétny cieľ (napríklad generálny riaditeľ spoločnosti), ale je tiež užitočná pri priamejšom phishingu alebo podobnom útoku proti menej známym ľuďom."
Nie je to len nedávno objavená chyba, ktorá je problémom AirDrop. V priebehu rokov sa ukázalo, že anonymní používatelia môžu posielať fotografie alebo súbory do cieľových zariadení pomocou AirDrop.
"Toto bolo použité na narušenie verejných multimediálnych udalostí pomocou AirDropping [dospelých] obrázkov, " povedal Kelley. „Ako už bolo povedané, bola tu „pozitívna kampaň“, v ktorej anonymní používatelia používali AirDropping motivačné obrázky na zacielenie na zariadenia.“
Neprepadajte panike, hovoria odborníci
Netrápte sa však príliš chybou AirDrop, povedal Oliver Tavakoli, technologický riaditeľ spoločnosti Vectra pre kybernetickú bezpečnosť, v e-mailovom rozhovore. Útočník sa musí nachádzať vo vašej relatívne tesnej blízkosti a na prelomenie vašej e-mailovej adresy a telefónneho čísla je potrebná určitá práca. Samozrejme, Apple môže a mal by túto chybu opraviť.
"Uchovajme si to však z perspektívy," dodal Tavakoli, "ak sa opísaný hack podarí, útočník bude mať e-mailovú adresu a telefónne číslo cudzieho človeka nablízku. Nie je to presne koniec sveta."
Hoci Apple ešte nevyriešil problém AirDrop, existujú veci, ktoré môžete urobiť, aby ste ho zmiernili. Používatelia by mali vypnúť AirDrop, ak sa nepoužíva, povedal Kelley. Môžete tiež zvážiť použitie projektu s otvoreným zdrojom s názvom PrivateDrop, ktorý tvrdí, že vyriešil proces overovania zoznamu kontaktov. Riešenie je zadarmo na použitie ako náhrada za AirDrop.
Najlepšie, čo môžu používatelia urobiť, je dávať si pozor na to, kto sa im pokúša posielať súbory, povedal Schless.
„Získanie upozornenia AirDrop od neznámeho jednotlivca je obrovská červená vlajka,“dodal. „Spustite svoje mobilné zariadenia na zásade najmenej potrebného prístupu a privilégií. Aktívne sa snažte znížiť počet prístupových povolení k údajom a zariadeniam, ktoré povoľujete svojim aplikáciám, aby ste minimalizovali potenciálne vystavenie kybernetickým hrozbám.“