Sleutel wegneemetes
- AirDrop is wonderlik om foto's na jou vriende te stuur, maar 'n gebrek wat onlangs ontdek is beteken vreemdelinge kan ook jou kontakinligting kry.
- Vreemdelinge kan jou foonnommer en e-posadres sien net deur 'n iOS- of macOS-deelvenster binne die Wi-Fi-reeks van ander mense oop te maak.
- Dit is getoon dat anonieme gebruikers foto's of lêers na teikentoestelle kan stoot met AirDrop.
Apple se AirDrop-funksie is 'n handige manier om dinge te deel, maar dit kan ook 'n privaatheidsrisiko inhou.
'n Onlangs ontdekte AirDrop-fout laat vreemdelinge jou foonnommer en e-posadres sien net deur 'n iOS- of macOS-deelvenster binne die Wi-Fi-reeks van ander mense oop te maak. Dit is een van 'n reeks privaatheidskwesbaarhede waarvan Mac- en iOS-gebruikers moet weet.
"Ons iOS-toestelle is gekoppel aan talle sosiale media-toepassings, derdeparty-boodskapplatforms en netwerkwerwe wat mense in staat stel om allerhande inhoud met mekaar te deel," Hank Schless, 'n sekuriteitskenner by die kuberveiligheidsfirma Lookout, het in 'n e-posonderhoud gesê. "As jy enige soort lêer van 'n onbekende kontak ontvang, moet jy dit altyd as potensieel gevaarlik behandel totdat anders bewys word."
Apple bly stil op 'n oplossing
Die foute in die sekuriteitsprotokolle vir AirDrop is na bewering in 2019 deur navorsers ontdek, wat Apple van die probleem laat weet het. Die maatskappy het egter nog nie 'n oplossing verskaf nie. 'n Onlangse koerant het bevind die kwessie is meer omvattend as wat voorheen bekend was.
"Aangesien sensitiewe data tipies uitsluitlik gedeel word met mense wat gebruikers reeds ken, wys AirDrop slegs ontvangertoestelle van adresboekkontakte by verstek," lui die verslag. "Om te bepaal of die ander party 'n kontak is, gebruik AirDrop 'n wedersydse verifikasiemeganisme wat 'n gebruiker se telefoonnommer en e-posadres vergelyk met inskrywings in die ander gebruiker se adresboek."
Om 'n AirDrop-kennisgewing van 'n onbekende individu te kry, is 'n massiewe rooi vlag.
Die probleem met die gebruik van AirDrop vir datadiefstal blyk beperk te wees tot telefoonnommers en e-posadresse, wat in toekomstige geteikende uitvissingaanvalle gebruik kan word, het die kuberveiligheidskenner Patrick Kelley in 'n e-posonderhoud gesê.
Jacob Ansari, 'n sekuriteitskenner by Schellman & Company, 'n wêreldwye onafhanklike sekuriteits- en privaatheidsnakomingsbeoordelaar, het saamgestem dat uitvissing die doelwit van enige potensiële kuberkrakers kan wees.
"'n Aanvaller wat naby 'n teikentoestel is, kan 'n gebruikernaam (waarskynlik e-posadres) en telefoonnommer baie maklik kry," het hy in 'n e-posonderhoud gesê. "Dit is miskien die nuttigste om die telefoonnommer van 'n spesifieke slagoffer te bekom, soos 'n bekende persoon of spesifieke teiken (bv. 'n maatskappy se uitvoerende hoof), maar is ook nuttig om dan 'n meer direkte uitvissing of soortgelyke aanval teen minder bekende mense te begin."
Dit is nie net die onlangs ontdekte fout wat 'n probleem met AirDrop is nie. Deur die jare is daar gewys dat anonieme gebruikers foto's of lêers na teikentoestelle kan stoot deur AirDrop te gebruik.
"Dit is gebruik om openbare multimedia-geleenthede te ontwrig deur AirDropping [volwasse] beelde," het Kelley gesê. "Dit gesê, daar was 'n 'positiwiteitsveldtog' waar anonieme gebruikers motiveringsprente AirDropping het om toestelle te teiken."
Moenie paniekerig raak nie, sê kenners
Maar moenie te veel bekommerd wees oor die AirDrop-fout nie, het Oliver Tavakoli, die hooftegnologiebeampte by die kuberveiligheidsfirma Vectra, in 'n e-posonderhoud gesê. Die aanvaller moet in 'n relatief nabye fisiese nabyheid van jou wees, en daar is 'n bietjie werk wat nodig is om jou e-posadres en telefoonnommer te kraak. Natuurlik kan en moet Apple hierdie fout regmaak.
"Kom ons hou dit egter in perspektief," het Tavakoli bygevoeg, "as die beskryfde hack slaag, sal 'n aanvaller die e-posadres en telefoonnommer van 'n nabygeleë vreemdeling hê. Nie presies die einde van die wêreld nie."
Alhoewel Apple nog nie die AirDrop-probleem reggestel het nie, is daar dinge wat jy kan doen om dit te help versag. Gebruikers moet AirDrop deaktiveer as dit nie gebruik word nie, het Kelley gesê. U kan ook oorweeg om 'n oopbronprojek genaamd PrivateDrop te gebruik, wat beweer dat u die kontaklysverifikasieproses opgelos het. Die oplossing is gratis om as 'n AirDrop-vervanging te gebruik.
Maar die beste ding wat gebruikers kan doen, is om versigtig te wees vir wie probeer om vir hulle lêers te stuur, het Schless gesê.
"Om 'n AirDrop-kennisgewing van 'n onbekende individu te kry, is 'n massiewe rooi vlag," het hy bygevoeg. "Laat jou mobiele toestelle bestuur volgens 'n beleid van die minste nodige toegang en voorreg. Probeer aktief om die aantal data- en toesteltoegangtoestemmings wat jy jou programme toelaat om te verminder, om potensiële blootstelling aan kuberbedreigings te verminder."
