Da asporto chiave
- AirDrop è ottimo per inviare foto ai tuoi amici, ma un difetto scoperto di recente significa che anche gli estranei potrebbero ottenere le tue informazioni di contatto.
- Gli estranei potrebbero vedere il tuo numero di telefono e indirizzo e-mail semplicemente aprendo un riquadro di condivisione iOS o macOS all'interno della portata Wi-Fi di altre persone.
- È stato dimostrato che gli utenti anonimi possono inviare foto o file a dispositivi target utilizzando AirDrop.
La funzione AirDrop di Apple è un modo pratico per condividere le cose, ma può anche essere un rischio per la privacy.
Un difetto AirDrop scoperto di recente consente agli estranei di vedere il tuo numero di telefono e indirizzo e-mail semplicemente aprendo un riquadro di condivisione iOS o macOS all'interno della portata Wi-Fi di altre persone. È una delle numerose vulnerabilità della privacy di cui gli utenti Mac e iOS dovrebbero essere a conoscenza.
"I nostri dispositivi iOS sono collegati a innumerevoli app di social media, piattaforme di messaggistica di terze parti e siti di networking che consentono alle persone di condividere ogni tipo di contenuto tra loro", Hank Schless, esperto di sicurezza presso l'azienda di sicurezza informatica Lookout, ha detto in un'intervista via e-mail. "Se ricevi qualsiasi tipo di file da un contatto sconosciuto, dovresti sempre trattarlo come potenzialmente pericoloso fino a prova contraria."
Apple rimane silenziosa durante una correzione
Secondo quanto riferito, i difetti nei protocolli di sicurezza per AirDrop sono stati scoperti nel 2019 dai ricercatori, che hanno informato Apple del problema. Tuttavia, l'azienda non ha ancora fornito una soluzione. Un recente documento ha rilevato che il problema è più ampio di quanto precedentemente noto.
"Poiché i dati sensibili sono in genere condivisi esclusivamente con persone che gli utenti già conoscono, AirDrop mostra solo i dispositivi riceventi dai contatti della rubrica per impostazione predefinita", afferma il rapporto. "Per determinare se l' altra parte è un contatto, AirDrop utilizza un meccanismo di autenticazione reciproca che confronta il numero di telefono e l'indirizzo e-mail di un utente con le voci nella rubrica dell' altro utente."
Ricevere una notifica AirDrop da un individuo sconosciuto è un'enorme bandiera rossa.
Il problema con l'utilizzo di AirDrop per il furto di dati sembra essere limitato ai numeri di telefono e agli indirizzi e-mail, che potrebbero essere utilizzati in futuri attacchi di phishing mirati, ha affermato l'esperto di sicurezza informatica Patrick Kelley in un'intervista via e-mail.
Jacob Ansari, un esperto di sicurezza presso Schellman & Company, un valutatore indipendente globale di sicurezza e conformità alla privacy, ha convenuto che il phishing potrebbe essere l'obiettivo di qualsiasi potenziale hacker.
"Un utente malintenzionato in prossimità di un dispositivo di destinazione può ottenere un nome utente (probabilmente un indirizzo e-mail) e un numero di telefono molto facilmente", ha detto in un'intervista via e-mail. "Forse è più utile per ottenere il numero di telefono di una particolare vittima, come una celebrità o un obiettivo particolare (ad esempio, un amministratore delegato di un'azienda), ma è anche utile per organizzare un attacco di phishing o simile più diretto contro persone meno famose."
Non è solo il difetto scoperto di recente che è un problema con AirDrop. Nel corso degli anni, è stato dimostrato che gli utenti anonimi possono inviare foto o file a dispositivi target utilizzando AirDrop.
"Questo è stato utilizzato per interrompere gli eventi multimediali pubblici tramite AirDropping [per adulti] immagini", ha detto Kelley. "Detto questo, c'è stata una 'campagna di positività' in cui utenti anonimi stavano lanciando immagini motivazionali AirDropping per indirizzare i dispositivi."
Non farti prendere dal panico, dicono gli esperti
Ma non preoccuparti troppo del difetto AirDrop, ha detto Oliver Tavakoli, chief technology officer della società di sicurezza informatica Vectra, in un'intervista via e-mail. L'attaccante deve trovarsi in una vicinanza fisica relativamente stretta a te e c'è del lavoro necessario per decifrare il tuo indirizzo e-mail e il tuo numero di telefono. Ovviamente, Apple può e deve correggere questo difetto.
"Tuttavia, teniamolo in prospettiva", ha aggiunto Tavakoli, "se l'hacking descritto ha esito positivo, un aggressore avrà l'indirizzo e-mail e il numero di telefono di uno sconosciuto nelle vicinanze. Non esattamente la fine del mondo."
Anche se Apple non ha ancora risolto il problema di AirDrop, ci sono cose che puoi fare per mitigarlo. Gli utenti dovrebbero disabilitare AirDrop se non viene utilizzato, ha detto Kelley. Potresti anche prendere in considerazione l'utilizzo di un progetto open source chiamato PrivateDrop, che afferma di aver risolto il processo di verifica dell'elenco dei contatti. La soluzione può essere utilizzata gratuitamente come sostituto di AirDrop.
Ma la cosa migliore che gli utenti possono fare è diffidare di chi sta cercando di inviare loro file, ha detto Schless.
"Ricevere una notifica AirDrop da un individuo sconosciuto è un'enorme bandiera rossa", ha aggiunto. "Esegui i tuoi dispositivi mobili in base a criteri di accesso e privilegi meno necessari. Prova attivamente a ridurre il numero di dati e autorizzazioni di accesso ai dispositivi che consenti alle tue app di avere al fine di ridurre al minimo la potenziale esposizione alle minacce informatiche."