Βασικά Takeaways
- Το AirDrop είναι εξαιρετικό για την αποστολή φωτογραφιών στους φίλους σας, αλλά ένα ελάττωμα που ανακαλύφθηκε πρόσφατα σημαίνει ότι και άγνωστοι θα μπορούσαν να λάβουν τα στοιχεία επικοινωνίας σας.
- Οι ξένοι θα μπορούσαν να δουν τον αριθμό τηλεφώνου και τη διεύθυνση email σας απλώς ανοίγοντας ένα παράθυρο κοινής χρήσης iOS ή macOS εντός της περιοχής Wi-Fi άλλων ατόμων.
- Έχει αποδειχθεί ότι οι ανώνυμοι χρήστες μπορούν να προωθήσουν φωτογραφίες ή αρχεία σε συσκευές στόχευσης χρησιμοποιώντας το AirDrop.
Η λειτουργία AirDrop της Apple είναι ένας εύχρηστος τρόπος για να μοιράζεστε πράγματα, αλλά μπορεί επίσης να αποτελεί κίνδυνο για το απόρρητο.
Ένα ελάττωμα του AirDrop που ανακαλύφθηκε πρόσφατα επιτρέπει σε αγνώστους να βλέπουν τον αριθμό τηλεφώνου και τη διεύθυνση email σας απλώς ανοίγοντας ένα παράθυρο κοινής χρήσης iOS ή macOS εντός της περιοχής Wi-Fi άλλων ατόμων. Είναι ένα από μια σειρά από ευπάθειες απορρήτου που πρέπει να γνωρίζουν οι χρήστες Mac και iOS.
"Οι συσκευές μας iOS συνδέονται με αμέτρητες εφαρμογές μέσων κοινωνικής δικτύωσης, πλατφόρμες ανταλλαγής μηνυμάτων τρίτων και ιστότοπους δικτύωσης που επιτρέπουν στους ανθρώπους να μοιράζονται κάθε είδους περιεχόμενο μεταξύ τους, " Hank Schless, ειδικός σε θέματα ασφάλειας στην εταιρεία κυβερνοασφάλειας Lookout, είπε σε συνέντευξη μέσω email. "Εάν λάβετε οποιοδήποτε είδος αρχείου από άγνωστη επαφή, θα πρέπει πάντα να το αντιμετωπίζετε ως δυνητικά επικίνδυνο έως ότου αποδειχθεί το αντίθετο."
Η Apple παραμένει σιωπηλή σε μια επιδιόρθωση
Τα ελαττώματα στα πρωτόκολλα ασφαλείας για το AirDrop φέρεται να αποκαλύφθηκαν το 2019 από ερευνητές, οι οποίοι ενημέρωσαν την Apple για το πρόβλημα. Ωστόσο, η εταιρεία δεν έχει δώσει ακόμη λύση. Μια πρόσφατη δημοσίευση διαπίστωσε ότι το ζήτημα είναι πιο εκτεταμένο από ό,τι ήταν γνωστό στο παρελθόν.
"Καθώς τα ευαίσθητα δεδομένα μοιράζονται συνήθως αποκλειστικά με άτομα που οι χρήστες γνωρίζουν ήδη, το AirDrop εμφανίζει μόνο συσκευές δέκτη από τις επαφές του βιβλίου διευθύνσεων από προεπιλογή", ανέφερε η αναφορά. "Για να προσδιορίσει αν το άλλο μέρος είναι επαφή, το AirDrop χρησιμοποιεί έναν μηχανισμό αμοιβαίου ελέγχου ταυτότητας που συγκρίνει τον αριθμό τηλεφώνου και τη διεύθυνση email ενός χρήστη με τις καταχωρίσεις στο βιβλίο διευθύνσεων του άλλου χρήστη."
Η λήψη ειδοποίησης AirDrop από άγνωστο άτομο είναι μια τεράστια κόκκινη σημαία.
Το πρόβλημα με τη χρήση του AirDrop για κλοπή δεδομένων φαίνεται να περιορίζεται σε αριθμούς τηλεφώνου και διευθύνσεις email, που θα μπορούσαν να χρησιμοποιηθούν σε μελλοντικές στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος, δήλωσε ο ειδικός στον τομέα της κυβερνοασφάλειας Patrick Kelley σε μια συνέντευξη μέσω email.
Ο Jacob Ansari, ειδικός σε θέματα ασφάλειας στη Schellman & Company, έναν παγκόσμιο ανεξάρτητο αξιολογητή συμμόρφωσης για την ασφάλεια και το απόρρητο, συμφώνησε ότι το phishing θα μπορούσε να είναι ο στόχος οποιουδήποτε πιθανού χάκερ.
"Ένας εισβολέας που βρίσκεται κοντά σε μια συσκευή-στόχο μπορεί να αποκτήσει ένα όνομα χρήστη (πιθανώς διεύθυνση email) και έναν αριθμό τηλεφώνου πολύ εύκολα", είπε σε μια συνέντευξη μέσω email. "Είναι ίσως πιο χρήσιμο για την απόκτηση του αριθμού τηλεφώνου ενός συγκεκριμένου θύματος, όπως μιας διασημότητας ή ενός συγκεκριμένου στόχου (π.χ., ενός Διευθύνοντος Συμβούλου εταιρείας), αλλά είναι επίσης χρήσιμο για την πραγματοποίηση μιας πιο άμεσης επίθεσης phishing ή παρόμοιας επίθεσης εναντίον λιγότερο διάσημων ανθρώπων."
Δεν είναι μόνο το ελάττωμα που ανακαλύφθηκε πρόσφατα που είναι ένα πρόβλημα με το AirDrop. Με τα χρόνια, έχει αποδειχθεί ότι οι ανώνυμοι χρήστες μπορούν να προωθήσουν φωτογραφίες ή αρχεία σε συσκευές στόχευσης χρησιμοποιώντας το AirDrop.
"Αυτό έχει χρησιμοποιηθεί για να διαταράξει τις δημόσιες εκδηλώσεις πολυμέσων από εικόνες AirDropping [ενήλικες]", είπε η Kelley. "Τούτου λεχθέντος, υπήρχε μια "εκστρατεία θετικότητας" όπου ανώνυμοι χρήστες είχαν παρακινητικές εικόνες AirDropping για τη στόχευση συσκευών."
Μην πανικοβάλλεστε, λένε οι ειδικοί
Αλλά μην ανησυχείτε πολύ για το ελάττωμα του AirDrop, είπε ο Oliver Tavakoli, ο επικεφαλής τεχνολογίας στην εταιρεία κυβερνοασφάλειας Vectra, σε μια συνέντευξη μέσω email. Ο εισβολέας πρέπει να βρίσκεται σε σχετικά κοντινή φυσική γειτνίαση με εσάς και απαιτείται κάποια εργασία για να σπάσει τη διεύθυνση email και τον αριθμό τηλεφώνου σας. Φυσικά, η Apple μπορεί και πρέπει να διορθώσει αυτό το ελάττωμα.
"Ωστόσο, ας το κρατήσουμε αυτό σε προοπτική", πρόσθεσε ο Tavakoli, "εάν το περιγραφόμενο χακάρισμα πετύχει, ένας εισβολέας θα έχει τη διεύθυνση email και τον αριθμό τηλεφώνου ενός κοντινού αγνώστου. Όχι ακριβώς το τέλος του κόσμου."
Ενώ η Apple δεν έχει επιλύσει ακόμη το πρόβλημα AirDrop, υπάρχουν πράγματα που μπορείτε να κάνετε για να το μετριαστείτε. Οι χρήστες θα πρέπει να απενεργοποιήσουν το AirDrop εάν δεν χρησιμοποιείται, είπε η Kelley. Θα μπορούσατε επίσης να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε ένα έργο ανοιχτού κώδικα με το όνομα PrivateDrop, το οποίο ισχυρίζεται ότι έχει επιλύσει τη διαδικασία επαλήθευσης της λίστας επαφών. Η λύση είναι δωρεάν για χρήση ως αντικατάσταση του AirDrop.
Αλλά το καλύτερο πράγμα που μπορούν να κάνουν οι χρήστες είναι να προσέχουν ποιος προσπαθεί να τους στείλει αρχεία, είπε ο Schless.
"Η λήψη ειδοποίησης AirDrop από ένα άγνωστο άτομο είναι μια τεράστια κόκκινη σημαία", πρόσθεσε. "Εκτελέστε τις φορητές συσκευές σας με μια πολιτική της λιγότερο απαραίτητης πρόσβασης και προνομίων. Προσπαθήστε ενεργά να μειώσετε τον αριθμό των αδειών πρόσβασης δεδομένων και συσκευών που επιτρέπετε να έχουν οι εφαρμογές σας, προκειμένου να ελαχιστοποιήσετε την πιθανή έκθεση σε απειλές στον κυβερνοχώρο."