Saltar al contenido
Internet & Security

Varför AirDrop kanske inte är lufttätt

22 de junio de 2021
GettyImages 1188194421 7545cb0bf13d43b68291e39bae0706a4

Viktiga takeaways

  • AirDrop är utmärkt för att skicka foton till dina vänner, men ett nyligen upptäckt fel innebär att främlingar också kan få din kontaktinformation.
  • Främlingar kunde se ditt telefonnummer och e-postadress bara genom att öppna en delningsruta för iOS eller macOS inom Wi-Fi-intervallet för andra människor.
  • Det har visats att anonyma användare kan skicka foton eller filer för att rikta in sig på enheter med AirDrop.
Apples AirDrop-funktion är ett praktiskt sätt att dela saker, men det kan också vara en integritetsrisk. Ett nyligen upptäckt AirDrop-fel låter främlingar se ditt telefonnummer och e-postadress bara genom att öppna en iOS- eller macOS-delningsruta inom Wi-Fi-intervallet för andra människor. Det är en av en rad sekretesssårbarheter som Mac- och iOS-användare borde veta om. ”Våra iOS-enheter är anslutna till otaliga appar för sociala medier, meddelandeplattformar från tredje part och nätverkssajter som gör det möjligt för människor att dela alla typer av innehåll med varandra”, säger Hank Schless, en säkerhetsexpert på cybersäkerhetsföretaget Lookout, i ett e-postmeddelande intervju. «Om du får någon form av fil från en okänd kontakt, bör du alltid behandla den som potentiellt farlig tills annat bevisats.»

Apple förblir tyst på en fix

Bristerna i säkerhetsprotokollen för AirDrop avslöjades enligt uppgift 2019 av forskare som lät Apple veta om problemet. Företaget har dock ännu inte tillhandahållit en lösning. Enligt en tidning som nyligen gjorts är frågan mer omfattande än tidigare känt. «Eftersom känslig data vanligtvis uteslutande delas med personer som användare redan känner visar AirDrop endast mottagarenheter från adressbokskontakter som standard», står det i rapporten. «För att avgöra om den andra parten är en kontakt använder AirDrop en ömsesidig autentiseringsmekanism som jämför en användares telefonnummer och e-postadress med poster i den andra användarens adressbok.» «Att få ett AirDrop-meddelande från en okänd person är en massiv röd flagga.» Problemet med att använda AirDrop för datastöld verkar vara begränsat till telefonnummer och e-postadresser, som kan användas i framtida riktade nätfiskeattacker, sa cybersäkerhetsexpert Patrick Kelley i en e-postintervju. Jacob Ansari, en säkerhetsexpert på Schellman & Company, en global oberoende säkerhets- och integritetsbedömare, instämde i att nätfiske kan vara målet för alla potentiella hackare. «En angripare med närhet till en målenhet kan få ett användarnamn (förmodligen e-postadress) och telefonnummer mycket enkelt», sa han i en e-postintervju. «Det är kanske mest användbart för att få ett telefonnummer till ett visst offer, såsom en kändis eller ett visst mål (t.ex. ett företags VD), men är också användbart för att sedan göra en mer direkt nätfiske eller liknande attack mot mindre kända personer. »

AirDrop som det visas på MacBooks som kör Big Sur

Det är inte bara den nyligen upptäckta bristen som är ett problem med AirDrop. Under åren har det visat sig att anonyma användare kan skicka foton eller filer till målenheter med AirDrop. «Detta har använts för att störa offentliga multimediahändelser av AirDropping [adult] bilder, «sade Kelley.» Med detta sagt, det fanns en «positivitetskampanj» där anonyma användare AirDropping motiverande bilder för att rikta in sig på enheter. »

Var inte panik, säger experter

Men oroa dig inte för mycket för AirDrop-bristen, sa Oliver Tavakoli, teknikchef på cybersäkerhetsföretaget Vectra, i en e-postintervju. Angriparen måste vara i relativt nära fysisk närhet till dig, och det krävs lite arbete för att knäcka din e-postadress och telefonnummer. Naturligtvis kan och bör Apple åtgärda denna brist. «Men låt oss hålla detta i perspektiv», tillade Tavakoli, «om det beskrivna hacket lyckas kommer en angripare att ha e-postadressen och telefonnumret till en närliggande främling. Inte precis världens ände.»

Grupp människor som har ett affärsmöte

Medan Apple ännu inte har åtgärdat AirDrop-problemet finns det saker du kan göra för att mildra det. Användare bör inaktivera AirDrop om den inte används, sa Kelley. Du kan också överväga att använda ett open source-projekt med namnet PrivateDrop, som hävdar att du har löst verifieringsprocessen för kontaktlistan. Lösningen är gratis att använda som ersättning för AirDrop. Men det bästa användarna kan göra är att vara försiktig med vem som försöker skicka filer till dem, sa Schless. «Att få ett AirDrop-meddelande från en okänd person är en massiv röd flagga», tillade han. «Kör dina mobila enheter enligt en policy med minst nödvändig åtkomst och behörighet. Försök aktivt att minska antalet data- och enhetsåtkomstbehörigheter som du tillåter dina appar att ha för att minimera potentiell exponering för cyberhot.»