Mga Key Takeaway
- Mahusay ang AirDrop para sa pagpapadala ng mga larawan sa iyong mga kaibigan, ngunit ang isang kamakailang natuklasang kapintasan ay nangangahulugan na makukuha rin ng mga estranghero ang iyong impormasyon sa pakikipag-ugnayan.
- Makikita ng mga estranghero ang iyong numero ng telepono at email address sa pamamagitan lamang ng pagbubukas ng panel ng pagbabahagi ng iOS o macOS sa loob ng hanay ng Wi-Fi ng ibang mga tao.
- Ipinakita na ang mga hindi kilalang user ay maaaring mag-push ng mga larawan o file upang i-target ang mga device gamit ang AirDrop.
Ang tampok na AirDrop ng Apple ay isang madaling paraan upang magbahagi ng mga bagay, ngunit maaari rin itong maging panganib sa privacy.
Ang isang kamakailang natuklasang kapintasan ng AirDrop ay nagbibigay-daan sa mga estranghero na makita ang iyong numero ng telepono at email address sa pamamagitan lamang ng pagbubukas ng isang panel ng pagbabahagi ng iOS o macOS sa loob ng hanay ng Wi-Fi ng ibang mga tao. Isa ito sa hanay ng mga kahinaan sa privacy na dapat malaman ng mga user ng Mac at iOS.
"Ang aming mga iOS device ay konektado sa hindi mabilang na social media app, third-party messaging platform, at networking site na nagbibigay-daan sa mga tao na magbahagi ng lahat ng uri ng content sa isa't isa," Hank Schless, isang security expert sa cybersecurity firm na Lookout, sinabi sa isang panayam sa email. "Kung nakatanggap ka ng anumang uri ng file mula sa isang hindi kilalang contact, dapat mo itong ituring palagi bilang potensyal na mapanganib hanggang sa mapatunayang hindi."
Nananatiling Tahimik ang Apple sa Isang Pag-aayos
Ang mga depekto sa mga protocol ng seguridad para sa AirDrop ay iniulat na natuklasan noong 2019 ng mga mananaliksik, na nagpaalam sa Apple tungkol sa problema. Gayunpaman, ang kumpanya ay hindi pa nagbibigay ng solusyon. Nalaman ng isang kamakailang papel na ang isyu ay mas malawak kaysa sa naunang nalaman.
"Dahil ang sensitibong data ay karaniwang eksklusibong ibinabahagi sa mga taong kilala na ng mga user, ipinapakita lang ng AirDrop ang mga receiver device mula sa mga contact sa address book bilang default," sabi ng ulat. "Upang matukoy kung ang kabilang partido ay isang contact, gumagamit ang AirDrop ng mekanismo ng mutual authentication na naghahambing ng numero ng telepono at email address ng user sa mga entry sa address book ng ibang user."
Ang pagkuha ng notification ng AirDrop mula sa isang hindi kilalang indibidwal ay isang malaking pulang bandila.
Ang problema sa paggamit ng AirDrop para sa pagnanakaw ng data ay lumilitaw na limitado sa mga numero ng telepono at email address, na maaaring magamit sa mga target na pag-atake sa phishing sa hinaharap, sinabi ng eksperto sa cybersecurity na si Patrick Kelley sa isang panayam sa email.
Si Jacob Ansari, isang security expert sa Schellman & Company, isang pandaigdigang independiyenteng security at privacy compliance assessor, ay sumang-ayon na ang phishing ay maaaring maging layunin ng sinumang potensyal na hacker.
"Ang isang umaatake na malapit sa isang target na aparato ay maaaring makakuha ng isang username (marahil email address) at numero ng telepono nang napakadali," sabi niya sa isang panayam sa email. "Marahil ito ay pinakakapaki-pakinabang sa pagkuha ng numero ng telepono ng isang partikular na biktima, tulad ng isang tanyag na tao o partikular na target (hal., isang CEO ng kumpanya), ngunit kapaki-pakinabang din sa pag-mount ng isang mas direktang phishing o katulad na pag-atake laban sa hindi gaanong sikat na mga tao."
Hindi lang ang kamakailang natuklasang kapintasan ang problema sa AirDrop. Sa paglipas ng mga taon, ipinakita na ang mga hindi kilalang user ay maaaring mag-push ng mga larawan o file upang i-target ang mga device gamit ang AirDrop.
"Ginamit ito para guluhin ang mga pampublikong kaganapang multimedia sa pamamagitan ng AirDropping [pang-adulto] na mga larawan," sabi ni Kelley. "Sabi nga, nagkaroon ng 'positivity campaign' kung saan ang mga hindi kilalang user ay AirDropping ng mga motivational na larawan upang mag-target ng mga device."
Huwag Mag-panic, Sabi ng Mga Eksperto
Ngunit huwag masyadong mag-alala tungkol sa kapintasan ng AirDrop, sinabi ni Oliver Tavakoli, ang punong opisyal ng teknolohiya sa cybersecurity firm na Vectra, sa isang panayam sa email. Ang umaatake ay dapat na nasa medyo malapit na pisikal na kalapitan sa iyo, at mayroong ilang trabaho na kinakailangan upang i-crack ang iyong email address at numero ng telepono. Siyempre, kaya at dapat ayusin ng Apple ang kapintasang ito.
"Gayunpaman, panatilihin natin ito sa pananaw," dagdag ni Tavakoli, "kung magtagumpay ang inilarawang hack, magkakaroon ang isang attacker ng email address at numero ng telepono ng isang kalapit na estranghero. Hindi eksakto sa katapusan ng mundo."
Habang hindi pa naaayos ng Apple ang problema sa AirDrop, may mga bagay na magagawa mo para makatulong na mabawasan ito. Dapat i-disable ng mga user ang AirDrop kung hindi ito ginagamit, sabi ni Kelley. Maaari mo ring isaalang-alang ang paggamit ng isang open-source na proyekto na pinangalanang PrivateDrop, na nagsasabing nalutas na ang proseso ng pag-verify ng listahan ng contact. Ang solusyon ay malayang gamitin bilang kapalit ng AirDrop.
Ngunit ang pinakamagandang bagay na magagawa ng mga user ay mag-ingat sa kung sino ang sumusubok na magpadala sa kanila ng mga file, sabi ni Schless.
"Ang pagkuha ng notification ng AirDrop mula sa isang hindi kilalang indibidwal ay isang napakalaking pulang bandila," dagdag niya. "Patakbuhin ang iyong mga mobile device sa isang patakaran na hindi gaanong kinakailangang access at pribilehiyo. Aktibong subukang bawasan ang bilang ng data at mga pahintulot sa pag-access ng device na pinapayagan mong magkaroon ng iyong mga app upang mabawasan ang potensyal na pagkakalantad sa mga banta sa cyber."
