Ключевые выводы
- AirDrop отлично подходит для отправки фотографий вашим друзьям, но недавно обнаруженная уязвимость означает, что незнакомцы также могут получить вашу контактную информацию.
- Незнакомцы могут увидеть ваш номер телефона и адрес электронной почты, просто открыв панель обмена iOS или macOS в зоне действия Wi-Fi других людей.
- Было показано, что анонимные пользователи могут отправлять фотографии или файлы на целевые устройства с помощью AirDrop.
Функция AirDrop от Apple - это удобный способ делиться вещами, но это также может быть риском для конфиденциальности.
Недавно обнаруженная уязвимость AirDrop позволяет незнакомцам увидеть ваш номер телефона и адрес электронной почты, просто открыв панель обмена iOS или macOS в зоне действия Wi-Fi других людей. Это одна из ряда уязвимостей конфиденциальности, о которых должны знать пользователи Mac и iOS.
"Наши устройства iOS подключены к бесчисленным приложениям социальных сетей, сторонним платформам обмена сообщениями и сетевым сайтам, которые позволяют людям обмениваться любым контентом друг с другом", - Хэнк Шлесс, эксперт по безопасности компании Lookout, занимающейся кибербезопасностью., - говорится в интервью по электронной почте. «Если вы получаете какой-либо файл от неизвестного контакта, вы всегда должны рассматривать его как потенциально опасный, пока не будет доказано обратное».
Apple хранит молчание об исправлении
По сообщениям, недостатки в протоколах безопасности AirDrop были обнаружены в 2019 году исследователями, которые сообщили Apple о проблеме. Тем не менее, компания еще не предложила решение. Недавняя статья показала, что проблема более обширна, чем было известно ранее.
«Поскольку конфиденциальные данные обычно передаются исключительно людям, которых пользователи уже знают, AirDrop по умолчанию показывает устройства-получатели только из контактов адресной книги», - говорится в отчете. «Чтобы определить, является ли другая сторона контактом, AirDrop использует механизм взаимной аутентификации, который сравнивает номер телефона и адрес электронной почты пользователя с записями в адресной книге другого пользователя."
Получение уведомления AirDrop от неизвестного человека - это большой красный флаг.
Проблема с использованием AirDrop для кражи данных, по-видимому, ограничивается телефонными номерами и адресами электронной почты, которые могут быть использованы в будущих целевых фишинговых атаках, сказал эксперт по кибербезопасности Патрик Келли в интервью по электронной почте.
Джейкоб Ансари, эксперт по безопасности в Schellman & Company, глобальном независимом оценщике соблюдения требований безопасности и конфиденциальности, согласен с тем, что фишинг может быть целью любых потенциальных хакеров.
«Злоумышленник, находящийся поблизости от целевого устройства, может очень легко получить имя пользователя (вероятно, адрес электронной почты) и номер телефона», - сказал он в интервью по электронной почте. «Возможно, это наиболее полезно для получения номера телефона конкретной жертвы, такой как знаменитость или конкретная цель (например, генеральный директор компании), но также полезно для последующего проведения более прямого фишинга или аналогичной атаки против менее известных людей."
Проблема с AirDrop заключается не только в недавно обнаруженной уязвимости. За прошедшие годы было показано, что анонимные пользователи могут отправлять фотографии или файлы на целевые устройства с помощью AirDrop.
«Это использовалось для срыва публичных мультимедийных мероприятий с помощью AirDropping [для взрослых] изображений», - сказал Келли. «При этом была проведена «кампания позитива», в ходе которой анонимные пользователи сбрасывали мотивационные изображения AirDropping на целевые устройства».
Не паникуйте, говорят эксперты
Но не беспокойтесь слишком сильно об уязвимости AirDrop, сказал в интервью по электронной почте Оливер Таваколи, главный технический директор компании Vectra, занимающейся кибербезопасностью. Злоумышленник должен находиться в относительно непосредственной физической близости от вас, и для взлома вашего адреса электронной почты и номера телефона требуется определенная работа. Конечно, Apple может и должна исправить этот недостаток.
«Однако давайте будем иметь в виду, - добавил Таваколи, - если описанный взлом удастся, злоумышленник получит адрес электронной почты и номер телефона незнакомца поблизости. Не совсем конец света».
Хотя Apple еще не исправила проблему с AirDrop, есть вещи, которые вы можете сделать, чтобы смягчить ее. По словам Келли, пользователям следует отключить AirDrop, если он не используется. Вы также можете рассмотреть возможность использования проекта с открытым исходным кодом под названием PrivateDrop, который утверждает, что разрешил процесс проверки списка контактов. Решение можно использовать бесплатно в качестве замены AirDrop.
Но лучшее, что могут сделать пользователи, - это опасаться тех, кто пытается отправить им файлы, сказал Шлесс.
«Получение уведомления AirDrop от неизвестного человека - это большой красный флаг», - добавил он. «Используйте для своих мобильных устройств политику наименее необходимого доступа и привилегий. Активно старайтесь сократить количество разрешений на доступ к данным и устройствам, которые вы разрешаете своим приложениям, чтобы свести к минимуму потенциальную подверженность киберугрозам».
