Belangrijkste afhaalrestaurants
- AirDrop is geweldig om foto's naar je vrienden te sturen, maar een recent ontdekte fout betekent dat vreemden ook je contactgegevens kunnen krijgen.
- Vreemdelingen kunnen je telefoonnummer en e-mailadres zien door gewoon een deelvenster voor iOS of macOS te openen binnen het wifi-bereik van andere mensen.
- Het is aangetoond dat anonieme gebruikers foto's of bestanden naar doelapparaten kunnen pushen met AirDrop.
De AirDrop-functie van Apple is een handige manier om dingen te delen, maar het kan ook een privacyrisico vormen.
Een recent ontdekte AirDrop-fout laat vreemden je telefoonnummer en e-mailadres zien door gewoon een deelvenster voor iOS of macOS te openen binnen het wifi-bereik van andere mensen. Het is een van de vele privacykwetsbaarheden die Mac- en iOS-gebruikers zouden moeten kennen.
"Onze iOS-apparaten zijn verbonden met talloze sociale-media-apps, berichtenplatforms van derden en netwerksites waarmee mensen allerlei soorten inhoud met elkaar kunnen delen", Hank Schless, een beveiligingsexpert bij cyberbeveiligingsbedrijf Lookout, zei in een e-mailinterview. "Als u een bestand ontvangt van een onbekende contactpersoon, moet u dit altijd als potentieel gevaarlijk behandelen totdat het tegendeel is bewezen."
Apple blijft stil bij een oplossing
De fouten in de beveiligingsprotocollen voor AirDrop werden naar verluidt in 2019 ontdekt door onderzoekers, die Apple op de hoogte brachten van het probleem. Een oplossing heeft het bedrijf echter nog niet. Uit een recent artikel bleek dat het probleem omvangrijker is dan eerder bekend was.
"Omdat gevoelige gegevens doorgaans uitsluitend worden gedeeld met mensen die gebruikers al kennen, toont AirDrop standaard alleen ontvangers van adresboekcontacten", aldus het rapport. "Om te bepalen of de andere partij een contactpersoon is, gebruikt AirDrop een wederzijds authenticatiemechanisme dat het telefoonnummer en e-mailadres van een gebruiker vergelijkt met vermeldingen in het adresboek van de andere gebruiker."
Een AirDrop-melding ontvangen van een onbekende persoon is een enorme rode vlag.
Het probleem met het gebruik van AirDrop voor gegevensdiefstal lijkt beperkt te zijn tot telefoonnummers en e-mailadressen, die kunnen worden gebruikt in toekomstige gerichte phishing-aanvallen, zei cyberbeveiligingsexpert Patrick Kelley in een e-mailinterview.
Jacob Ansari, een beveiligingsexpert bij Schellman & Company, een wereldwijde onafhankelijke beoordelaar van beveiligings- en privacycompliance, was het ermee eens dat phishing het doel zou kunnen zijn van potentiële hackers.
"Een aanvaller die zich in de buurt van een doelapparaat bevindt, kan heel gemakkelijk een gebruikersnaam (waarschijnlijk e-mailadres) en telefoonnummer verkrijgen", zei hij in een e-mailinterview. "Het is misschien het nuttigst bij het verkrijgen van het telefoonnummer van een bepaald slachtoffer, zoals een beroemdheid of een bepaald doelwit (bijvoorbeeld de CEO van een bedrijf), maar is ook nuttig om vervolgens een meer directe phishing-aanval of soortgelijke aanval op minder bekende mensen uit te voeren."
Het is niet alleen de recent ontdekte fout die een probleem is met AirDrop. In de loop der jaren is aangetoond dat anonieme gebruikers foto's of bestanden naar doelapparaten kunnen pushen met AirDrop.
"Dit is gebruikt om openbare multimedia-evenementen te verstoren door AirDropping [volwassen] afbeeldingen," zei Kelley. "Dat gezegd hebbende, er was een 'positiviteitscampagne' waarbij anonieme gebruikers motiverende afbeeldingen AirDropping om apparaten te targeten."
Geen paniek, zeggen experts
Maar maak je niet al te veel zorgen over de AirDrop-fout, zei Oliver Tavakoli, de chief technology officer bij cyberbeveiligingsbedrijf Vectra, in een e-mailinterview. De aanvaller moet zich in relatief dichte fysieke nabijheid van u bevinden en er is wat werk nodig om uw e-mailadres en telefoonnummer te kraken. Natuurlijk kan en moet Apple deze fout herstellen.
"Laten we dit echter in perspectief houden," voegde Tavakoli eraan toe, "als de beschreven hack slaagt, heeft een aanvaller het e-mailadres en telefoonnummer van een onbekende in de buurt. Niet bepaald het einde van de wereld."
Hoewel Apple het AirDrop-probleem nog niet heeft opgelost, zijn er dingen die u kunt doen om het te helpen verminderen. Gebruikers moeten AirDrop uitschakelen als het niet wordt gebruikt, zei Kelley. U kunt ook overwegen een open-sourceproject met de naam PrivateDrop te gebruiken, dat beweert het verificatieproces van de contactlijst te hebben opgelost. De oplossing is gratis te gebruiken als AirDrop-vervanging.
Maar het beste wat gebruikers kunnen doen, is op hun hoede zijn voor wie hen bestanden probeert te sturen, zei Schless.
"Het ontvangen van een AirDrop-melding van een onbekende persoon is een enorme rode vlag", voegde hij eraan toe. "Voer uw mobiele apparaten uit volgens een beleid van de minst noodzakelijke toegang en bevoegdheden. Probeer actief het aantal gegevens en toegangsrechten voor apparaten te verminderen die u uw apps toestaat om potentiële blootstelling aan cyberbedreigingen te minimaliseren."
