מזונות חשובים
- AirDrop נהדר לשליחת תמונות לחברים שלך, אבל פגם שהתגלה לאחרונה פירושו שאנשים זרים יכולים לקבל את פרטי הקשר שלך.
- זרים יכולים לראות את מספר הטלפון וכתובת האימייל שלך רק על ידי פתיחת חלונית שיתוף iOS או macOS בטווח ה-Wi-Fi של אנשים אחרים.
- הוכח שמשתמשים אנונימיים יכולים לדחוף תמונות או קבצים למכשירי יעד באמצעות AirDrop.
תכונת AirDrop של אפל היא דרך שימושית לשתף דברים, אבל היא גם יכולה להוות סיכון פרטיות.
פגם ב-AirDrop שהתגלה לאחרונה מאפשר לזרים לראות את מספר הטלפון וכתובת האימייל שלך רק על ידי פתיחת חלונית שיתוף iOS או macOS בטווח ה-Wi-Fi של אנשים אחרים. זוהי אחת ממגוון נקודות התורפה של פרטיות שמשתמשי Mac ו-iOS צריכים לדעת עליהן.
"מכשירי ה-iOS שלנו מחוברים לאינספור אפליקציות מדיה חברתית, פלטפורמות הודעות של צד שלישי ואתרי רשת המאפשרים לאנשים לשתף כל מיני תוכן אחד עם השני", האנק שלס, מומחה אבטחה בחברת אבטחת הסייבר Lookout, אמר בראיון באימייל. "אם אתה מקבל כל סוג של קובץ מאיש קשר לא ידוע, אתה תמיד צריך להתייחס אליו כמסוכן עד שיוכח אחרת."
Apple שומרת על שתיקה בתיקון
לפי הדיווחים, הפגמים בפרוטוקולי האבטחה של AirDrop נחשפו ב-2019 על ידי חוקרים, שהודיעו לאפל על הבעיה. עם זאת, החברה עדיין לא סיפקה פתרון. מאמר שנערך לאחרונה מצא שהבעיה נרחבת יותר מהידוע בעבר.
"מכיוון שבדרך כלל נתונים רגישים משותפים בלעדית עם אנשים שמשתמשים כבר מכירים, AirDrop מציגה רק מכשירי מקלט מאנשי קשר בספר הכתובות כברירת מחדל", נכתב בדוח. "כדי לקבוע אם הצד השני הוא איש קשר, AirDrop משתמשת במנגנון אימות הדדי שמשווה את מספר הטלפון וכתובת האימייל של המשתמש עם רשומות בפנקס הכתובות של המשתמש האחר."
קבלת הודעת AirDrop מאדם לא ידוע הוא דגל אדום ענק.
נראה שהבעיה בשימוש ב-AirDrop לגניבת נתונים מוגבלת למספרי טלפון וכתובות דוא ל, שיכולים לשמש בהתקפות דיוג עתידיות, אמר מומחה אבטחת הסייבר פטריק קלי בראיון באימייל.
Jacob Ansari, מומחה אבטחה ב-Schellman & Company, מעריך עולמי בלתי תלוי באבטחה ובפרטיות, הסכים שדיוג יכול להיות המטרה של כל האקרים פוטנציאליים.
"תוקף עם קרבה למכשיר יעד יכול להשיג שם משתמש (כנראה כתובת אימייל) ומספר טלפון בקלות רבה", אמר בראיון באימייל. "זה אולי הכי שימושי בהשגת מספר הטלפון של קורבן מסוים, כמו ידוען או מטרה מסוימת (למשל, מנכ"ל חברה), אבל הוא גם שימושי לאחר מכן בהתקפה ישירה יותר של פישינג או התקפה דומה נגד אנשים פחות מפורסמים."
לא רק הפגם שהתגלה לאחרונה הוא בעיה עם AirDrop. במהלך השנים, הוכח שמשתמשים אנונימיים יכולים לדחוף תמונות או קבצים למכשירי יעד באמצעות AirDrop.
"זה שימש כדי לשבש אירועי מולטימדיה ציבוריים על ידי AirDropping [למבוגרים]", אמרה קלי. "עם זאת נאמר, היה 'קמפיין חיובי' שבו משתמשים אנונימיים העבירו אייר-דרופ תמונות מוטיבציה כדי למקד למכשירים."
אל תיבהלו, מומחים אומרים
אבל אל תדאג יותר מדי לגבי הפגם ב-AirDrop, אמר אוליבר טבאקולי, קצין הטכנולוגיה הראשי בחברת אבטחת הסייבר Vectra, בראיון באימייל. התוקף צריך להיות בקרבה פיזית יחסית אליך, ויש צורך בעבודה כדי לפצח את כתובת הדוא ל ומספר הטלפון שלך. כמובן, אפל יכולה וצריכה לתקן את הפגם הזה.
"עם זאת, בואו נשאיר את זה בפרספקטיבה", הוסיף טבאקולי, "אם הפריצה המתוארת תצליח, לתוקף יהיו כתובת הדוא"ל ומספר הטלפון של זר קרוב. לא בדיוק סוף העולם."
למרות שאפל עדיין לא תיקנה את בעיית AirDrop, יש דברים שאתה יכול לעשות כדי להקל עליה. משתמשים צריכים להשבית את AirDrop אם זה לא בשימוש, אמר קלי. אתה יכול גם לשקול להשתמש בפרויקט קוד פתוח בשם PrivateDrop, שלטענתו פתר את תהליך אימות רשימת אנשי הקשר. הפתרון ניתן לשימוש בחינם כתחליף AirDrop.
אבל הדבר הטוב ביותר שמשתמשים יכולים לעשות הוא להיזהר ממי שמנסה לשלוח להם קבצים, אמר שלס.
"קבלת הודעת AirDrop מאדם לא ידוע הוא דגל אדום ענק", הוסיף. "הפעל את המכשירים הניידים שלך על פי מדיניות של גישה והרשאות הכי פחות נחוצות. נסה באופן פעיל להפחית את מספר הרשאות הגישה לנתונים והמכשירים שאתה מאפשר לאפליקציות שלך לקבל כדי למזער את החשיפה הפוטנציאלית לאיומי סייבר."
