Key takeaways
- AirDrop er fantastisk til at sende billeder til dine venner, men en nyligt opdaget fejl betyder, at fremmede også kan få dine kontaktoplysninger.
- Strangers kunne se dit telefonnummer og din e-mailadresse blot ved at åbne en iOS- eller macOS-delingsrude inden for andre menneskers Wi-Fi-rækkevidde.
- Det har vist sig, at anonyme brugere kan skubbe billeder eller filer til målenheder ved hjælp af AirDrop.
Apples AirDrop-funktion er en praktisk måde at dele ting på, men det kan også være en privatlivsrisiko.
En nyligt opdaget AirDrop-fejl lader fremmede se dit telefonnummer og din e-mailadresse blot ved at åbne en iOS- eller macOS-delingsrude inden for andre menneskers Wi-Fi-rækkevidde. Det er en af en række sårbarheder i privatlivets fred, som Mac- og iOS-brugere bør kende til.
"Vores iOS-enheder er forbundet til utallige sociale medie-apps, tredjeparts meddelelsesplatforme og netværkswebsteder, der gør det muligt for folk at dele al slags indhold med hinanden," Hank Schless, en sikkerhedsekspert hos cybersikkerhedsfirmaet Lookout, sagde i et e-mailinterview. "Hvis du modtager nogen form for fil fra en ukendt kontakt, bør du altid behandle den som potentielt farlig, indtil det modsatte er bevist."
Apple forbliver tavs på en rettelse
Fejlene i sikkerhedsprotokollerne til AirDrop blev angiveligt afsløret i 2019 af forskere, som fort alte Apple om problemet. Virksomheden mangler dog endnu at komme med en løsning. Et nyligt papir fandt ud af, at problemet er mere omfattende end tidligere kendt.
"Da følsomme data typisk udelukkende deles med personer, som brugerne allerede kender, viser AirDrop kun modtagerenheder fra adressebogskontakter som standard," hedder det i rapporten. "For at afgøre, om den anden part er en kontakt, bruger AirDrop en gensidig godkendelsesmekanisme, der sammenligner en brugers telefonnummer og e-mailadresse med indtastninger i den anden brugers adressebog."
At få en AirDrop-meddelelse fra en ukendt person er et massivt rødt flag.
Problemet med at bruge AirDrop til datatyveri ser ud til at være begrænset til telefonnumre og e-mailadresser, som kan bruges i fremtidige målrettede phishing-angreb, sagde cybersikkerhedsekspert Patrick Kelley i et e-mailinterview.
Jacob Ansari, en sikkerhedsekspert hos Schellman & Company, en global uafhængig sikkerheds- og overholdelsesbedømmer, var enig i, at phishing kunne være målet for alle potentielle hackere.
"En angriber med nærhed til en målenhed kan meget nemt få et brugernavn (sandsynligvis e-mailadresse) og telefonnummer," sagde han i et e-mailinterview. "Det er måske mest nyttigt til at få fat i telefonnummeret på et bestemt offer, såsom en berømthed eller et bestemt mål (f.eks. en virksomheds CEO), men det er også nyttigt til derefter at sætte gang i et mere direkte phishing eller lignende angreb mod mindre kendte mennesker."
Det er ikke kun den nyligt opdagede fejl, der er et problem med AirDrop. Gennem årene har det vist sig, at anonyme brugere kan skubbe billeder eller filer til målenheder ved hjælp af AirDrop.
"Dette er blevet brugt til at forstyrre offentlige multimediebegivenheder ved at AirDropping [voksen] billeder," sagde Kelley. "Når det er sagt, var der en 'positivitetskampagne', hvor anonyme brugere AirDropping motiverende billeder for at målrette enheder."
Du skal ikke gå i panik, siger eksperter
Men du skal ikke bekymre dig for meget om AirDrop-fejlen, sagde Oliver Tavakoli, teknologichefen hos cybersikkerhedsfirmaet Vectra, i et e-mailinterview. Angriberen skal være i relativt tæt fysisk nærhed af dig, og der kræves noget arbejde for at knække din e-mailadresse og dit telefonnummer. Selvfølgelig kan og bør Apple rette denne fejl.
"Lad os dog holde dette i perspektiv," tilføjede Tavakoli, "hvis det beskrevne hack lykkes, vil en angriber have e-mailadressen og telefonnummeret på en fremmed i nærheden. Ikke ligefrem verdens undergang."
Selv om Apple endnu ikke har løst AirDrop-problemet, er der ting, du kan gøre for at afbøde det. Brugere bør deaktivere AirDrop, hvis det ikke bliver brugt, sagde Kelley. Du kan også overveje at bruge et open source-projekt ved navn PrivateDrop, som hævder at have løst bekræftelsesprocessen for kontaktlisten. Løsningen er gratis at bruge som en AirDrop-erstatning.
Men det bedste, brugerne kan gøre, er at være på vagt over for, hvem der forsøger at sende dem filer, sagde Schless.
"At få en AirDrop-meddelelse fra en ukendt person er et massivt rødt flag," tilføjede han. "Kør dine mobile enheder efter en politik med mindst nødvendige adgang og privilegier. Forsøg aktivt at reducere antallet af data- og enhedsadgangstilladelser, du tillader dine apps at have, for at minimere potentiel eksponering for cybertrusler."
