Klíčové poznatky
- AirDrop je skvělý pro posílání fotek vašim přátelům, ale nedávno objevená chyba znamená, že vaše kontaktní údaje mohou získat i cizí lidé.
- Cizinci uvidí vaše telefonní číslo a e-mailovou adresu pouhým otevřením podokna sdílení v systému iOS nebo macOS v dosahu Wi-Fi ostatních lidí.
- Ukázalo se, že anonymní uživatelé mohou odesílat fotografie nebo soubory do cílových zařízení pomocí AirDrop.
Funkce AirDrop společnosti Apple je praktický způsob sdílení věcí, ale také může představovat riziko pro soukromí.
Nedávno objevená chyba AirDrop umožňuje cizím lidem vidět vaše telefonní číslo a e-mailovou adresu pouhým otevřením podokna sdílení iOS nebo macOS v dosahu Wi-Fi ostatních lidí. Je to jedna z řady chyb zabezpečení, o kterých by uživatelé počítačů Mac a iOS měli vědět.
„Naše zařízení iOS jsou propojena s nesčetnými aplikacemi sociálních médií, platformami pro zasílání zpráv třetích stran a síťovými weby, které lidem umožňují vzájemně sdílet nejrůznější obsah,“Hank Schless, bezpečnostní expert z firmy Lookout v oblasti kybernetické bezpečnosti, řekl v e-mailovém rozhovoru. "Pokud obdržíte jakýkoli druh souboru od neznámého kontaktu, měli byste s ním vždy zacházet jako s potenciálně nebezpečným, dokud se neprokáže opak."
Apple po opravě mlčí
Chyby v bezpečnostních protokolech pro AirDrop byly údajně odhaleny v roce 2019 výzkumníky, kteří o problému informovali Apple. Řešení však společnost zatím nepředložila. Nedávný dokument zjistil, že problém je rozsáhlejší, než se dříve vědělo.
„Vzhledem k tomu, že citlivá data jsou obvykle sdílena výhradně s lidmi, které uživatelé již znají, AirDrop ve výchozím nastavení zobrazuje pouze přijímací zařízení z kontaktů v adresáři,“uvádí zpráva. „K určení, zda je druhá strana kontakt, používá AirDrop mechanismus vzájemného ověřování, který porovnává telefonní číslo a e-mailovou adresu uživatele se záznamy v adresáři druhého uživatele."
Získat oznámení AirDrop od neznámé osoby je velká červená vlajka.
Problém s používáním AirDrop ke krádeži dat se zdá být omezen na telefonní čísla a e-mailové adresy, které by mohly být použity při budoucích cílených phishingových útocích, řekl v e-mailovém rozhovoru expert na kybernetickou bezpečnost Patrick Kelley.
Jacob Ansari, bezpečnostní expert ze společnosti Schellman & Company, globálního nezávislého hodnotitele bezpečnosti a ochrany soukromí, souhlasil s tím, že phishing by mohl být cílem všech potenciálních hackerů.
„Útočník v blízkosti cílového zařízení může velmi snadno získat uživatelské jméno (pravděpodobně e-mailovou adresu) a telefonní číslo,“řekl v e-mailovém rozhovoru. "Je to možná nejužitečnější při získávání telefonního čísla konkrétní oběti, jako je celebrita nebo konkrétní cíl (např. generální ředitel společnosti), ale je také užitečné při následném přímějším phishingu nebo podobném útoku proti méně slavným lidem."
Není to jen nedávno objevená chyba, která je problémem AirDrop. V průběhu let se ukázalo, že anonymní uživatelé mohou odesílat fotografie nebo soubory do cílových zařízení pomocí AirDrop.
„Toto bylo použito k narušení veřejných multimediálních událostí pomocí AirDropping [dospělých] obrázků,“řekl Kelley. „Jak již bylo řečeno, proběhla „pozitivní kampaň“, kdy anonymní uživatelé používali AirDropping motivační obrázky k cílení na zařízení.“
Nepropadejte panice, říkají odborníci
Nedělejte si ale příliš starosti s nedostatkem AirDrop, řekl Oliver Tavakoli, technologický ředitel společnosti Vectra pro kybernetickou bezpečnost, v e-mailovém rozhovoru. Útočník se musí nacházet v relativně těsné fyzické blízkosti od vás a k prolomení vaší e-mailové adresy a telefonního čísla je třeba provést nějakou práci. Apple samozřejmě může a měl by tuto chybu opravit.
"Ponechme si to však s nadhledem," dodal Tavakoli, "pokud popsaný hack uspěje, útočník bude mít e-mailovou adresu a telefonní číslo blízkého cizince. Není to tak úplně konec světa."
I když Apple ještě nevyřešil problém AirDrop, existují věci, které můžete udělat, abyste jej zmírnili. Uživatelé by měli deaktivovat AirDrop, pokud se nepoužívá, řekl Kelley. Můžete také zvážit použití open-source projektu s názvem PrivateDrop, který tvrdí, že vyřešil proces ověřování seznamu kontaktů. Řešení je zdarma k použití jako náhrada AirDrop.
To nejlepší, co mohou uživatelé udělat, je dávat si pozor na to, kdo se jim snaží posílat soubory, řekl Schless.
„Získat oznámení AirDrop od neznámého jednotlivce je obrovská červená vlajka,“dodal. "Provozujte svá mobilní zařízení na zásadě nejméně nutného přístupu a oprávnění. Aktivně se snažte snížit počet přístupových oprávnění k datům a zařízením, která svým aplikacím povolujete, abyste minimalizovali potenciální vystavení kybernetickým hrozbám."