Clau per emportar
- AirDrop és ideal per enviar fotos als teus amics, però un error descobert recentment fa que els desconeguts també puguin obtenir la teva informació de contacte.
- Els estranys podrien veure el vostre número de telèfon i adreça electrònica només amb l'obertura d'un panell per compartir iOS o macOS dins de l'abast de la Wi-Fi d' altres persones.
- S'ha demostrat que els usuaris anònims poden enviar fotos o fitxers als dispositius de destinació mitjançant AirDrop.
La funció AirDrop d'Apple és una manera útil de compartir coses, però també pot suposar un risc per a la privadesa.
Un defecte d'AirDrop descobert recentment permet als desconeguts veure el vostre número de telèfon i adreça de correu electrònic només amb l'obertura d'un panell per compartir iOS o macOS dins de l'abast de la Wi-Fi d' altres persones. És una de les vulnerabilitats de privadesa que haurien de conèixer els usuaris de Mac i iOS.
"Els nostres dispositius iOS estan connectats a innombrables aplicacions de xarxes socials, plataformes de missatgeria de tercers i llocs de xarxes que permeten a les persones compartir tot tipus de contingut entre elles", Hank Schless, expert en seguretat de la firma de ciberseguretat Lookout., va dir en una entrevista per correu electrònic. "Si rebeu qualsevol tipus de fitxer d'un contacte desconegut, sempre hauríeu de tractar-lo com a potencialment perillós fins que no es demostri el contrari."
Apple es manté en silenci en una solució
Els defectes dels protocols de seguretat d'AirDrop van ser descoberts el 2019 pels investigadors, que van informar Apple sobre el problema. No obstant això, l'empresa encara ha de donar una solució. Un article recent va trobar que el problema és més extens del que es coneixia anteriorment.
"Com que les dades confidencials normalment es comparteixen exclusivament amb persones que els usuaris ja coneixen, AirDrop només mostra els dispositius receptors dels contactes de la llibreta d'adreces de manera predeterminada", afirma l'informe. "Per determinar si l' altra part és un contacte, AirDrop utilitza un mecanisme d'autenticació mútua que compara el número de telèfon i l'adreça de correu electrònic d'un usuari amb les entrades de la llibreta d'adreces de l' altre usuari."
Rebre una notificació d'AirDrop d'una persona desconeguda és una bandera vermella massiva.
El problema amb l'ús d'AirDrop per al robatori de dades sembla estar limitat als números de telèfon i adreces de correu electrònic, que es podrien utilitzar en futurs atacs de pesca dirigits, va dir l'expert en ciberseguretat Patrick Kelley en una entrevista per correu electrònic.
Jacob Ansari, expert en seguretat de Schellman & Company, un assessor global independent de seguretat i compliment de la privadesa, va acceptar que la pesca podria ser l'objectiu de qualsevol pirata informàtic potencial.
"Un atacant amb proximitat a un dispositiu objectiu pot obtenir un nom d'usuari (probablement una adreça de correu electrònic) i un número de telèfon molt fàcilment", va dir en una entrevista per correu electrònic. "Potser és més útil per obtenir el número de telèfon d'una víctima en particular, com ara una celebritat o un objectiu particular (per exemple, un director general d'una empresa), però també és útil per muntar un atac de pesca més directe o similar contra persones menys famoses."
No només la falla descoberta recentment és un problema amb AirDrop. Al llarg dels anys, s'ha demostrat que els usuaris anònims poden enviar fotos o fitxers a dispositius orientats mitjançant AirDrop.
"Això s'ha utilitzat per interrompre els esdeveniments multimèdia públics mitjançant AirDropping [adult] imatges", va dir Kelley. "Dit això, hi va haver una 'campanya de positivitat' en què usuaris anònims enviaven imatges de motivació amb AirDropping per orientar dispositius."
No t'espantis, diuen els experts
Però no us preocupeu massa pel defecte d'AirDrop, va dir Oliver Tavakoli, director de tecnologia de la firma de ciberseguretat Vectra, en una entrevista per correu electrònic. L'atacant ha d'estar relativament a prop de vos altres, i cal treballar per trencar la vostra adreça de correu electrònic i el vostre número de telèfon. Per descomptat, Apple pot i hauria de solucionar aquest defecte.
"No obstant això, mantenim-ho en perspectiva", va afegir Tavakoli, "si el pirateig descrit té èxit, un atacant tindrà l'adreça de correu electrònic i el número de telèfon d'un desconegut proper. No exactament la fi del món."
Si bé Apple encara no ha solucionat el problema d'AirDrop, hi ha coses que podeu fer per ajudar-lo a mitigar-lo. Els usuaris haurien de desactivar AirDrop si no s'utilitza, va dir Kelley. També podeu considerar utilitzar un projecte de codi obert anomenat PrivateDrop, que afirma haver resolt el procés de verificació de la llista de contactes. La solució es pot utilitzar gratuïtament com a substitut d'AirDrop.
Però el millor que poden fer els usuaris és desconfiar de qui els intenta enviar fitxers, va dir Schless.
"Rebre una notificació d'AirDrop d'una persona desconeguda és una bandera vermella massiva", va afegir. "Executeu els vostres dispositius mòbils amb una política d'accés i privilegis menys necessaris. Intenteu reduir activament el nombre de dades i permisos d'accés al dispositiu que permeteu que tinguin les vostres aplicacions per minimitzar l'exposició potencial a les amenaces cibernètiques."
