Key takeaways
- AirDrop är utmärkt för att skicka foton till dina vänner, men ett nyligen upptäckt fel innebär att främlingar också kan få din kontaktinformation.
- Främlingar kunde se ditt telefonnummer och din e-postadress bara genom att öppna en delningsruta för iOS eller macOS inom andra människors Wi-Fi-räckvidd.
- Det har visat sig att anonyma användare kan skicka foton eller filer till målenheter med AirDrop.
Apples AirDrop-funktion är ett praktiskt sätt att dela saker, men det kan också vara en integritetsrisk.
Ett nyligen upptäckt AirDrop-fel låter främlingar se ditt telefonnummer och din e-postadress bara genom att öppna en delningsruta för iOS eller macOS inom andra människors Wi-Fi-räckvidd. Det är en av en rad säkerhetsbrister som Mac- och iOS-användare bör känna till.
"Våra iOS-enheter är anslutna till otaliga sociala medieappar, meddelandeplattformar från tredje part och nätverkssajter som tillåter människor att dela alla typer av innehåll med varandra", Hank Schless, säkerhetsexpert på cybersäkerhetsföretaget Lookout, sa i en e-postintervju. "Om du får någon form av fil från en okänd kontakt, bör du alltid behandla den som potentiellt farlig tills motsatsen bevisats."
Apple förblir tyst på en fix
Brekerna i säkerhetsprotokollen för AirDrop uppdagades enligt uppgift 2019 av forskare, som informerade Apple om problemet. Men företaget har ännu inte tillhandahållit en lösning. En färsk tidning fann att problemet är mer omfattande än tidigare känt.
"Eftersom känslig data vanligtvis enbart delas med personer som användare redan känner till, visar AirDrop endast mottagarenheter från adressbokskontakter som standard", stod det i rapporten. "För att avgöra om den andra parten är en kontakt använder AirDrop en ömsesidig autentiseringsmekanism som jämför en användares telefonnummer och e-postadress med poster i den andra användarens adressbok."
Att få en AirDrop-avisering från en okänd person är en enorm röd flagga.
Problemet med att använda AirDrop för datastöld verkar vara begränsat till telefonnummer och e-postadresser, som kan användas i framtida riktade nätfiskeattacker, sa cybersäkerhetsexperten Patrick Kelley i en e-postintervju.
Jacob Ansari, en säkerhetsexpert på Schellman & Company, en global oberoende utvärderare av säkerhet och integritetsefterlevnad, höll med om att nätfiske kan vara målet för alla potentiella hackare.
"En angripare med närhet till en målenhet kan få ett användarnamn (förmodligen e-postadress) och telefonnummer mycket enkelt", sa han i en e-postintervju. "Det är kanske mest användbart för att få ett särskilt offers telefonnummer, till exempel en kändis eller ett särskilt mål (t.ex. en företagsVD), men det är också användbart för att sedan genomföra ett mer direkt nätfiske eller liknande attack mot mindre kända personer."
Det är inte bara det nyligen upptäckta felet som är ett problem med AirDrop. Under årens lopp har det visat sig att anonyma användare kan skicka foton eller filer till målenheter med AirDrop.
"Detta har använts för att störa offentliga multimediaevenemang genom att AirDropping [vuxen] bilder", sa Kelley. "Med det sagt fanns det en "positivitetskampanj" där anonyma användare AirDropping motiverande bilder för att rikta enheter."
Få inte panik, säger experter
Men oroa dig inte för mycket om AirDrop-felet, sa Oliver Tavakoli, teknikchef på cybersäkerhetsföretaget Vectra, i en e-postintervju. Angriparen måste vara i relativt nära fysisk närhet till dig, och det krävs en del arbete för att knäcka din e-postadress och ditt telefonnummer. Naturligtvis kan och bör Apple åtgärda detta fel.
"Låt oss dock hålla detta i perspektiv," tillade Tavakoli, "om det beskrivna hacket lyckas kommer en angripare att ha e-postadressen och telefonnummer till en främling i närheten. Inte precis världens ände."
Även om Apple inte har åtgärdat AirDrop-problemet ännu, finns det saker du kan göra för att lindra det. Användare bör inaktivera AirDrop om det inte används, sa Kelley. Du kan också överväga att använda ett projekt med öppen källkod som heter PrivateDrop, som påstår sig ha löst verifieringsprocessen för kontaktlistan. Lösningen är gratis att använda som en AirDrop-ersättning.
Men det bästa användarna kan göra är att vara försiktig med vem som försöker skicka filer till dem, sa Schless.
"Att få en AirDrop-avisering från en okänd person är en massiv röd flagga", tillade han. "Kör dina mobila enheter enligt en policy med minst nödvändig åtkomst och behörighet. Försök aktivt att minska antalet data- och enhetsåtkomstbehörigheter du tillåter att dina appar har för att minimera potentiell exponering för cyberhot."
