Keeawayt
- AirDrop sopii erinomaisesti kuvien lähettämiseen ystävillesi, mutta äskettäin havaittu virhe tarkoittaa, että myös tuntemattomat voivat saada yhteystietosi.
- Muukalaiset voivat nähdä puhelinnumerosi ja sähköpostiosoitteesi vain avaamalla iOS- tai macOS-jakoruudun muiden ihmisten Wi-Fi-alueella.
- On osoitettu, että nimettömät käyttäjät voivat työntää valokuvia tai tiedostoja kohdelaitteisiin AirDropin avulla.
Applen AirDrop-ominaisuus on kätevä tapa jakaa asioita, mutta se voi myös olla tietosuojariski.
Äskettäin löydetty AirDrop-virhe antaa tuntemattomille mahdollisuuden nähdä puhelinnumerosi ja sähköpostiosoitteesi vain avaamalla iOS- tai macOS-jakoruutu muiden ihmisten Wi-Fi-alueella. Se on yksi monista tietosuojahaavoittuvuuksista, joista Mac- ja iOS-käyttäjien tulisi tietää.
"IOS-laitteemme on yhdistetty lukemattomiin sosiaalisen median sovelluksiin, kolmansien osapuolien viestialustoille ja verkkosivustoille, joiden avulla ihmiset voivat jakaa kaikenlaista sisältöä toistensa kanssa", Hank Schless, kyberturvallisuusyritys Lookoutin tietoturvaasiantuntija., sanoi sähköpostihaastattelussa. "Jos saat minkä tahansa tiedoston tuntemattom alta yhteyshenkilöltä, sinun tulee aina käsitellä sitä mahdollisesti vaarallisena, kunnes toisin todistetaan."
Apple vaikenee korjauksesta
Tutkijat paljastivat AirDropin tietoturvaprotokollien puutteet vuonna 2019 ja ilmoittivat Applelle ongelmasta. Yhtiö ei kuitenkaan ole vielä tarjonnut ratkaisua. Tuoreen paperin mukaan ongelma on laajempi kuin aiemmin tiedettiin.
"Koska arkaluontoiset tiedot jaetaan tyypillisesti yksinomaan ihmisten kanssa, jotka käyttäjät jo tuntevat, AirDrop näyttää oletusarvoisesti vain vastaanottajalaitteet osoitekirjan yhteystiedoista", raportissa todetaan. "Määrittääkseen, onko toinen osapuoli yhteyshenkilö, AirDrop käyttää keskinäistä todennusmekanismia, joka vertaa käyttäjän puhelinnumeroa ja sähköpostiosoitetta toisen käyttäjän osoitekirjan merkintöihin."
AirDrop-ilmoituksen saaminen tuntemattom alta henkilöltä on v altava punainen lippu.
Ongelma AirDropin käyttämisessä datavarkauksiin näyttää rajoittuvan puhelinnumeroihin ja sähköpostiosoitteisiin, joita voitaisiin käyttää tulevissa kohdistetuissa tietojenkalasteluhyökkäyksissä, kyberturvallisuusasiantuntija Patrick Kelley sanoi sähköpostihaastattelussa.
Jacob Ansari, Schellman & Companyn, maailmanlaajuisen riippumattoman tietoturva- ja tietosuojavaatimustenmukaisuuden arvioija, turvallisuusasiantuntija, oli samaa mieltä siitä, että tietojenkalastelu voi olla kaikkien mahdollisten hakkerien tavoite.
"Hyökkääjä, joka on lähellä kohdelaitetta, voi saada käyttäjätunnuksen (luultavasti sähköpostiosoitteen) ja puhelinnumeron erittäin helposti", hän sanoi sähköpostihaastattelussa. "Se on ehkä hyödyllisintä tietyn uhrin, kuten julkkiksen tai kohteen (esim. yrityksen toimitusjohtajan) puhelinnumeron saamisessa, mutta se on hyödyllinen myös suoritettaessa suorempaa tietojenkalastelua tai vastaavaa hyökkäystä vähemmän kuuluisia ihmisiä vastaan."
AirDropin ongelmana ei ole vain äskettäin löydetty puute. Vuosien mittaan on osoitettu, että nimettömät käyttäjät voivat työntää valokuvia tai tiedostoja kohdelaitteisiin AirDropin avulla.
"Tätä on käytetty häiritsemään julkisia multimediatapahtumia AirDroppingin [aikuisille] kuvilla", Kelley sanoi. "Tästä huolimatta siellä oli "positiivisuuskampanja", jossa nimettömät käyttäjät motivoivat AirDropping-kuvia kohdelaitteisiin."
Älä panikoi, asiantuntijat sanovat
Älä kuitenkaan murehdi liikaa AirDrop-virheestä, kyberturvallisuusyhtiö Vectran teknologiajohtaja Oliver Tavakoli sanoi sähköpostihaastattelussa. Hyökkääjän on oltava fyysisesti suhteellisen lähellä sinua, ja sähköpostiosoitteesi ja puhelinnumerosi murtamiseen tarvitaan jonkin verran työtä. Tietenkin Apple voi ja sen pitäisi korjata tämä virhe.
"Pidetään tämä kuitenkin perspektiivissä", lisäsi Tavakoli, "jos kuvattu hakkerointi onnistuu, hyökkääjällä on lähellä olevan vieraan sähköpostiosoite ja puhelinnumero. Ei aivan maailmanloppu."
Vaikka Apple ei ole vielä ratkaissut AirDrop-ongelmaa, voit tehdä asioita lieventääksesi sitä. Käyttäjien tulee poistaa AirDrop käytöstä, jos sitä ei käytetä, Kelley sanoi. Voit myös harkita avoimen lähdekoodin PrivateDrop-projektin käyttöä, joka väittää ratkaisseensa yhteystietoluettelon vahvistusprosessin. Ratkaisua voi käyttää ilmaiseksi AirDrop-korvaajana.
Mutta parasta, mitä käyttäjät voivat tehdä, on olla varovainen sen suhteen, kuka yrittää lähettää heille tiedostoja, Schless sanoi.
"AirDrop-ilmoituksen saaminen tuntemattom alta henkilöltä on v altava punainen lippu", hän lisäsi. "Käytä mobiililaitteitasi vähiten välttämättömien käyttöoikeuksien ja oikeuksien käytäntöjen mukaisesti. Yritä aktiivisesti vähentää sovelluksille myönnettävien tietojen ja laitteen käyttöoikeuksien määrää, jotta mahdollinen altistuminen kyberuhkille voidaan minimoida."
