Үндсэн санаанууд
- AirDrop нь найз нөхөддөө зураг илгээхэд маш тохиромжтой боловч саяхан илрүүлсэн дутагдал нь танихгүй хүмүүс таны холбоо барих мэдээллийг авах боломжтой гэсэн үг юм.
- Танихгүй хүмүүс бусад хүмүүсийн Wi-Fi хүрээн дэх iOS эсвэл macOS хуваалцах самбарыг нээхэд л таны утасны дугаар болон имэйл хаягийг харах боломжтой.
- Нэр нь үл мэдэгдэгч хэрэглэгчид AirDrop-г ашиглан зорилтот төхөөрөмж рүү зураг эсвэл файл түлхэж болно гэдгийг харуулсан.
Apple-ийн AirDrop функц нь аливаа зүйлийг хуваалцахад хялбар арга боловч энэ нь хувийн нууцад эрсдэл учруулж болзошгүй.
Саяхан илрүүлсэн AirDrop-ийн дутагдал нь бусад хүмүүсийн Wi-Fi хүрээн дэх iOS эсвэл macOS хуваалцах самбарыг нээхэд л танихгүй хүмүүст таны утасны дугаар болон имэйл хаягийг харах боломжийг олгодог. Энэ нь Mac болон iOS хэрэглэгчдийн мэдэх ёстой олон төрлийн нууцлалын эмзэг байдлын нэг юм.
"Манай iOS төхөөрөмжүүд тоо томшгүй олон сошиал медиа аппликейшн, гуравдагч талын мессежийн платформ, сүлжээний сайтуудтай холбогдсон бөгөөд тэдгээр нь хүмүүст бүх төрлийн контентыг бие биетэйгээ хуваалцах боломжийг олгодог" гэж Lookout фирмийн аюулгүй байдлын мэргэжилтэн Хэнк Шлесс хэлэв. гэж цахим шуудангаар ярилцлага өгөхдөө хэлсэн байна. "Хэрэв та үл мэдэгдэх харилцагчаас ямар нэгэн төрлийн файл хүлээн авсан бол өөрөөр нотлогдох хүртэл үүнийг аюултай гэж үзэх хэрэгтэй."
Apple засвар хийхдээ чимээгүй байна
AirDrop-ийн аюулгүй байдлын протоколуудын алдааг 2019 онд судлаачид илрүүлж, Apple-д асуудлын талаар мэдэгдсэн. Гэсэн хэдий ч тус компани шийдлийг хараахан өгөөгүй байна. Саяхны нэгэн хэвлэлд энэ асуудал өмнө нь мэдэгдэж байснаас илүү өргөн хүрээтэй байгааг олж тогтоосон.
"Мэдрэмжтэй мэдээллийг ихэвчлэн хэрэглэгчид аль хэдийн мэддэг хүмүүстэй хуваалцдаг тул AirDrop нь анхдагч байдлаар зөвхөн хаягийн дэвтрийн харилцагчдаас хүлээн авагч төхөөрөмжийг харуулдаг" гэж тайланд дурджээ. "Нөгөө тал нь харилцагч мөн эсэхийг тодорхойлохын тулд AirDrop нь хэрэглэгчийн утасны дугаар болон имэйл хаягийг нөгөө хэрэглэгчийн хаягийн дэвтэрт байгаа бичилттэй харьцуулдаг харилцан баталгаажуулалтын механизмыг ашигладаг."
Үл мэдэгдэх хүнээс AirDrop мэдэгдэл авах нь маш том улаан туг юм.
Өгөгдлийн хулгайд AirDrop-г ашиглахтай холбоотой асуудал зөвхөн утасны дугаар болон имэйл хаягаар хязгаарлагдаж байгаа бөгөөд үүнийг ирээдүйд чиглэсэн фишинг халдлагад ашиглах боломжтой гэж кибер аюулгүй байдлын мэргэжилтэн Патрик Келли цахим шуудангаар ярилцлага өгөхдөө хэлэв.
Аюулгүй байдал, нууцлалын нийцлийн дэлхийн хараат бус үнэлгээчин Schellman & Company-ийн аюулгүй байдлын мэргэжилтэн Жейкоб Ансари фишинг нь аливаа боломжит хакеруудын зорилго байж болно гэдэгтэй санал нэг байна.
"Зорилтот төхөөрөмжтэй ойрхон халдагчид хэрэглэгчийн нэр (магадгүй имэйл хаяг) болон утасны дугаарыг маш амархан олж авах боломжтой" гэж тэрээр цахим шуудангаар ярилцлага өгөхдөө хэлэв. "Энэ нь алдартай хүн эсвэл тодорхой зорилтот хүн (жишээ нь, компанийн гүйцэтгэх захирал) гэх мэт хохирогчийн утасны дугаарыг олж авахад хамгийн хэрэгтэй байж болох ч алдартай бус хүмүүсийн эсрэг шууд фишинг эсвэл үүнтэй төстэй халдлага үйлдэхэд тустай."
AirDrop-ийн асуудал нь зөвхөн саяхан илрүүлсэн дутагдал биш юм. Олон жилийн туршид нэрээ нууцалсан хэрэглэгчид AirDrop-ийг ашиглан зорилтот төхөөрөмж рүү зураг эсвэл файлуудыг түлхэж чаддаг болохыг харуулсан.
"Энэ нь олон нийтийн мультимедиа арга хэмжээг AirDropping [насанд хүрэгчдийн] зургуудаар тасалдуулахад ашигласан" гэж Келли хэлэв. "Үүнийг хэлэхэд, нэрээ нууцалсан хэрэглэгчид зорилтот төхөөрөмж рүү урам зориг өгөх зургуудыг AirDropping хийдэг "эерэг байдлын кампанит ажил" байсан."
Бүү сандар, мэргэжилтнүүдийн хэлснээр
Гэхдээ AirDrop-ийн алдааны талаар санаа зовох хэрэггүй гэж кибер аюулгүй байдлын Vectra фирмийн технологийн ахлах ажилтан Оливер Таваколи цахим шуудангаар өгсөн ярилцлагадаа хэлэв. Халдлага үйлдэгч тантай харьцангуй ойр байх ёстой бөгөөд таны имэйл хаяг, утасны дугаарыг эвдэхийн тулд зарим ажил шаардлагатай болно. Мэдээж Apple энэ дутагдлыг засч чадна, засах ёстой.
"Гэсэн хэдий ч, үүнийг хэтийн төлөвтэй байлгая" гэж Таваколи нэмж хэлэхдээ, "хэрэв тайлбарласан хакерууд амжилттай болбол халдагчид ойролцоох танихгүй хүний цахим шуудангийн хаяг, утасны дугаартай байх болно. Яг дэлхийн төгсгөл биш."
Apple AirDrop-ийн асуудлыг хараахан засаж амжаагүй байгаа ч үүнийг багасгахын тулд таны хийж чадах зүйл бий. Хэрэглэгчид AirDrop-ийг ашиглаагүй бол идэвхгүй болгох хэрэгтэй гэж Келли хэлэв. Та мөн PrivateDrop нэртэй нээлттэй эхийн төслийг ашиглах боломжтой бөгөөд энэ нь харилцагчийн жагсаалтыг шалгах үйл явцыг шийдсэн гэж үзэж болно. Энэхүү шийдлийг AirDrop орлуулах үнэ төлбөргүй ашиглах боломжтой.
Гэхдээ хэрэглэгчдийн хийж чадах хамгийн сайн зүйл бол хэн тэдэнд файл илгээхийг оролдож байгаагаас болгоомжлох явдал юм гэж Шлесс хэлэв.
"Үл мэдэгдэх хүнээс AirDrop мэдэгдэл авах нь маш том улаан туг юм" гэж тэр нэмж хэлэв. "Мобайл төхөөрөмжөө хамгийн бага хэрэгцээтэй хандалт, давуу эрхээр ажиллуул. Цахим аюулд өртөх магадлалыг багасгахын тулд өөрийн апп-ууддаа олгох өгөгдөл болон төхөөрөмжид хандах зөвшөөрлийн тоог идэвхтэйгээр багасгахыг хичээгээрэй."