Pagrindiniai pasiėmimai
- AirDrop puikiai tinka siųsti nuotraukas draugams, tačiau neseniai aptiktas trūkumas reiškia, kad nepažįstami žmonės taip pat gali gauti jūsų kontaktinę informaciją.
- Nepažįstami žmonės gali matyti jūsų telefono numerį ir el. pašto adresą tiesiog atidarę „iOS“arba „MacOS“bendrinimo sritį kitų žmonių „Wi-Fi“diapazone.
- Buvo parodyta, kad anoniminiai naudotojai gali siųsti nuotraukas ar failus į tikslinius įrenginius naudodami „AirDrop“.
„Apple“„AirDrop“funkcija yra patogus būdas dalytis informacija, tačiau tai taip pat gali kelti pavojų privatumui.
Neseniai aptiktas „AirDrop“trūkumas leidžia nepažįstamiems žmonėms matyti jūsų telefono numerį ir el. pašto adresą tiesiog atidarius „iOS“arba „MacOS“bendrinimo sritį kitų žmonių „Wi-Fi“diapazone. Tai vienas iš daugybės privatumo spragų, apie kurias „Mac“ir „iOS“naudotojai turėtų žinoti.
„Mūsų iOS įrenginiai yra prijungti prie daugybės socialinės žiniasklaidos programų, trečiųjų šalių susirašinėjimo platformų ir tinklų svetainių, kurios leidžia žmonėms dalytis visokiu turiniu“, – sakė kibernetinio saugumo įmonės Lookout saugos ekspertas Hankas Schlessas., sakė interviu el. "Jei gaunate bet kokį failą iš nežinomo kontakto, visada turėtumėte laikyti jį potencialiai pavojingu, kol neįrodysite kitaip."
„Apple“tyli dėl pataisymo
Pranešama, kad „AirDrop“saugos protokolų trūkumus 2019 m. atskleidė mokslininkai, pranešę „Apple“apie problemą. Tačiau bendrovė dar nepateikė sprendimo. Neseniai paskelbtame dokumente nustatyta, kad problema yra platesnė nei žinoma anksčiau.
„Kadangi neskelbtinais duomenimis paprastai dalijamasi tik su žmonėmis, kuriuos naudotojai jau pažįsta, pagal numatytuosius nustatymus AirDrop rodo tik imtuvo įrenginius iš adresų knygos kontaktų“, – teigiama pranešime. „Norint nustatyti, ar kita šalis yra kontaktas, AirDrop naudoja abipusį autentifikavimo mechanizmą, kuris lygina vartotojo telefono numerį ir el. pašto adresą su įrašais kito vartotojo adresų knygoje."
AirDrop pranešimo gavimas iš nežinomo asmens yra didžiulė raudona vėliavėlė.
Atrodo, kad „AirDrop“naudojimo duomenims vagystėms problema yra susijusi tik su telefono numeriais ir el. pašto adresais, kurie gali būti naudojami būsimose tikslinėse sukčiavimo atakose, interviu el. paštu sakė kibernetinio saugumo ekspertas Patrickas Kelley.
Jacobas Ansari, „Schellman & Company“, pasaulinio nepriklausomo saugumo ir privatumo atitikties vertintojo, saugos ekspertas, sutiko, kad sukčiavimas gali būti bet kurio potencialaus įsilaužėlio tikslas.
„Užpuolikas, esantis arti tikslinio įrenginio, gali labai lengvai gauti vartotojo vardą (tikriausiai el. pašto adresą) ir telefono numerį“, – sakė jis interviu el. paštu. „Tai bene naudingiausia norint gauti konkrečios aukos, pavyzdžiui, įžymybės ar konkretaus taikinio (pvz., įmonės vadovo) telefono numerį, bet taip pat naudinga surengiant tiesioginį sukčiavimą ar panašią ataką prieš mažiau žinomus žmones."
AirDrop problema yra ne tik neseniai atrastas trūkumas. Bėgant metams buvo įrodyta, kad anoniminiai naudotojai gali siųsti nuotraukas ar failus į tikslinius įrenginius naudodami „AirDrop“.
„Tai buvo panaudota siekiant sutrikdyti viešus daugialypės terpės įvykius naudojant „AirDropping“[suaugusiesiems] vaizdus“, - sakė Kelley. „Taigi buvo „pozityvumo kampanija“, kurios metu anoniminiai naudotojai „AirDropping“motyvuojančius vaizdus naudojo tiksliniams įrenginiams“.
Neišsigąskite, sako ekspertai
Tačiau per daug nesijaudinkite dėl „AirDrop“trūkumo, interviu el. paštu sakė kibernetinio saugumo įmonės „Vectra“vyriausiasis technologijų pareigūnas Oliveris Tavakoli. Užpuolikas turi būti gana arti jūsų, o norint nulaužti jūsų el. pašto adresą ir telefono numerį, reikia atlikti tam tikrą darbą. Žinoma, „Apple“gali ir turėtų ištaisyti šį trūkumą.
"Tačiau laikykime tai perspektyvoje, - pridūrė Tavakoli, - jei aprašytas įsilaužimas pavyks, užpuolikas turės netoliese esančio nepažįstamojo el. pašto adresą ir telefono numerį. Ne visai pasaulio pabaiga."
Nors „Apple“dar neišsprendė „AirDrop“problemos, yra dalykų, kuriuos galite padaryti, kad padėtumėte ją sumažinti. Kelley sakė, kad vartotojai turėtų išjungti „AirDrop“, jei jis nenaudojamas. Taip pat galite apsvarstyti galimybę naudoti atvirojo kodo projektą, pavadintą „PrivateDrop“, kuris teigia, kad išsprendė kontaktų sąrašo patvirtinimo procesą. Sprendimą galima nemokamai naudoti kaip „AirDrop“pakaitalą.
Tačiau geriausia, ką naudotojai gali padaryti, yra būti atsargiems, kas bando jiems siųsti failus, sakė Schlessas.
„Gauti AirDrop pranešimą iš nežinomo asmens yra didžiulė raudona vėliava“, – pridūrė jis. "Paleiskite savo mobiliuosius įrenginius laikydamiesi mažiausiai būtinos prieigos ir privilegijų. Aktyviai stenkitės sumažinti duomenų ir įrenginio prieigos leidimų, kuriuos leidžiate programoms, skaičių, kad sumažintumėte galimą kibernetinių grėsmių poveikį."