Key takeaways
- AirDrop er flott for å sende bilder til vennene dine, men en nylig oppdaget feil betyr at fremmede også kan få kontaktinformasjonen din.
- Strangers kunne se telefonnummeret og e-postadressen din bare ved å åpne en iOS- eller macOS-delingsrute innenfor Wi-Fi-rekkevidden til andre personer.
- Det har vist seg at anonyme brukere kan sende bilder eller filer til målenheter ved hjelp av AirDrop.
Apples AirDrop-funksjon er en hendig måte å dele ting på, men den kan også være en personvernrisiko.
En nylig oppdaget AirDrop-feil lar fremmede se telefonnummeret og e-postadressen din bare ved å åpne en iOS- eller macOS-delingsrute innenfor Wi-Fi-området til andre mennesker. Det er en av en rekke personvernsårbarheter som Mac- og iOS-brukere bør vite om.
"Våre iOS-enheter er koblet til utallige sosiale medier-apper, tredjeparts meldingsplattformer og nettverkssider som lar folk dele all slags innhold med hverandre," Hank Schless, en sikkerhetsekspert hos nettsikkerhetsfirmaet Lookout, sa i et e-postintervju. "Hvis du mottar noen form for fil fra en ukjent kontakt, bør du alltid behandle den som potensielt farlig inntil det motsatte er bevist."
Apple forblir stille på en løsning
Feilene i sikkerhetsprotokollene for AirDrop ble angivelig avdekket i 2019 av forskere, som ga Apple beskjed om problemet. Imidlertid har selskapet ennå ikke kommet med en løsning. En fersk artikkel fant at problemet er mer omfattende enn tidligere kjent.
"Som sensitive data vanligvis deles med personer som brukere allerede kjenner, viser AirDrop bare mottakerenheter fra adressebokkontakter som standard," heter det i rapporten. "For å avgjøre om den andre parten er en kontakt, bruker AirDrop en gjensidig autentiseringsmekanisme som sammenligner en brukers telefonnummer og e-postadresse med oppføringer i den andre brukerens adressebok.«
Å få et AirDrop-varsel fra en ukjent person er et massivt rødt flagg.
Problemet med å bruke AirDrop for datatyveri ser ut til å være begrenset til telefonnumre og e-postadresser, som kan brukes i fremtidige målrettede phishing-angrep, sa nettsikkerhetsekspert Patrick Kelley i et e-postintervju.
Jacob Ansari, en sikkerhetsekspert hos Schellman & Company, en global uavhengig vurdering av sikkerhet og personvern, var enig i at phishing kan være målet for alle potensielle hackere.
"En angriper med nærhet til en målenhet kan få et brukernavn (sannsynligvis e-postadresse) og telefonnummer veldig enkelt," sa han i et e-postintervju. "Det er kanskje mest nyttig for å få telefonnummeret til et bestemt offer, for eksempel en kjendis eller et bestemt mål (f.eks. en bedriftssjef), men er også nyttig for deretter å sette i gang et mer direkte phishing eller lignende angrep mot mindre kjente personer.«
Det er ikke bare den nylig oppdagede feilen som er et problem med AirDrop. Gjennom årene har det vist seg at anonyme brukere kan sende bilder eller filer til målenheter ved hjelp av AirDrop.
"Dette har blitt brukt til å forstyrre offentlige multimediebegivenheter ved å AirDropping [voksen] bilder," sa Kelley. "Når det er sagt, var det en 'positivitetskampanje' der anonyme brukere AirDropping motiverende bilder for å målrette mot enheter."
Ikke få panikk, sier eksperter
Men ikke bekymre deg for mye om AirDrop-feilen, sa Oliver Tavakoli, teknologisjef i cybersikkerhetsfirmaet Vectra, i et e-postintervju. Angriperen må være i relativt nær fysisk nærhet til deg, og det er noe arbeid som kreves for å knekke e-postadressen og telefonnummeret ditt. Selvfølgelig kan og bør Apple fikse denne feilen.
"La oss imidlertid holde dette i perspektiv," la Tavakoli til, "hvis det beskrevne hacket lykkes, vil en angriper ha e-postadressen og telefonnummeret til en fremmed i nærheten. Ikke akkurat verdens undergang."
Selv om Apple ennå ikke har løst AirDrop-problemet, er det ting du kan gjøre for å redusere det. Brukere bør deaktivere AirDrop hvis det ikke blir brukt, sa Kelley. Du kan også vurdere å bruke et åpen kildekode-prosjekt k alt PrivateDrop, som hevder å ha løst bekreftelsesprosessen for kontaktlisten. Løsningen er gratis å bruke som AirDrop-erstatning.
Men det beste brukerne kan gjøre er å være forsiktig med hvem som prøver å sende dem filer, sa Schless.
"Å få et AirDrop-varsel fra en ukjent person er et massivt rødt flagg," la han til. "Kjør de mobile enhetene dine etter en policy med minst nødvendige tilgang og privilegier. Prøv aktivt å redusere antallet data- og enhetstilgangstillatelser du lar appene dine ha for å minimere potensiell eksponering for nettrusler."
