ซื้อกลับบ้านที่สำคัญ
- AirDrop เหมาะสำหรับการส่งรูปภาพให้เพื่อนของคุณ แต่ข้อบกพร่องที่เพิ่งค้นพบหมายความว่าคนแปลกหน้าอาจได้รับข้อมูลติดต่อของคุณ
- คนแปลกหน้าสามารถเห็นหมายเลขโทรศัพท์และที่อยู่อีเมลของคุณได้เพียงแค่เปิดบานหน้าต่างการแชร์ iOS หรือ macOS ภายในช่วง Wi-Fi ของผู้อื่น
- ปรากฏว่าผู้ใช้ที่ไม่ระบุตัวตนสามารถพุชรูปภาพหรือไฟล์ไปยังอุปกรณ์เป้าหมายได้โดยใช้ AirDrop
ฟีเจอร์ AirDrop ของ Apple เป็นวิธีที่สะดวกในการแชร์สิ่งต่างๆ แต่ก็อาจเป็นความเสี่ยงต่อความเป็นส่วนตัวได้เช่นกัน
ข้อบกพร่อง AirDrop ที่เพิ่งค้นพบทำให้คนแปลกหน้าเห็นหมายเลขโทรศัพท์และที่อยู่อีเมลของคุณเพียงแค่เปิดบานหน้าต่างการแชร์ iOS หรือ macOS ภายในช่วง Wi-Fi ของผู้อื่น เป็นหนึ่งในช่องโหว่ด้านความเป็นส่วนตัวที่ผู้ใช้ Mac และ iOS ควรรู้
"อุปกรณ์ iOS ของเราเชื่อมต่อกับแอปโซเชียลมีเดียนับไม่ถ้วน แพลตฟอร์มการส่งข้อความของบุคคลที่สาม และไซต์เครือข่ายที่อนุญาตให้ผู้คนแชร์เนื้อหาทุกประเภทให้กันและกัน" Hank Schless ผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Lookout กล่าวในการสัมภาษณ์ทางอีเมล "หากคุณได้รับไฟล์ประเภทใดจากผู้ติดต่อที่ไม่รู้จัก คุณควรปฏิบัติต่อไฟล์ดังกล่าวว่าอาจเป็นอันตรายจนกว่าจะได้รับการพิสูจน์เป็นอย่างอื่น"
Apple นิ่งเงียบในการแก้ไข
ข้อบกพร่องในโปรโตคอลความปลอดภัยสำหรับ AirDrop ถูกรายงานในปี 2019 โดยนักวิจัยที่แจ้งให้ Apple ทราบเกี่ยวกับปัญหา อย่างไรก็ตาม บริษัทยังไม่ได้ให้บริการโซลูชั่น เอกสารฉบับล่าสุดพบว่าปัญหาครอบคลุมมากกว่าที่เคยทราบ
"เนื่องจากโดยปกติแล้วข้อมูลที่ละเอียดอ่อนจะถูกแชร์เฉพาะกับผู้ที่ผู้ใช้รู้จักอยู่แล้ว AirDrop จะแสดงเฉพาะอุปกรณ์รับจากรายชื่อติดต่อในสมุดที่อยู่โดยค่าเริ่มต้น" รายงานระบุ "ในการตรวจสอบว่าอีกฝ่ายเป็นผู้ติดต่อหรือไม่ AirDrop ใช้กลไกการตรวจสอบร่วมกันที่เปรียบเทียบหมายเลขโทรศัพท์และที่อยู่อีเมลของผู้ใช้กับรายการในสมุดที่อยู่ของผู้ใช้รายอื่น"
การรับการแจ้งเตือน AirDrop จากบุคคลที่ไม่รู้จักเป็นธงสีแดงขนาดใหญ่
ปัญหาเกี่ยวกับการใช้ AirDrop ในการขโมยข้อมูลดูเหมือนจะจำกัดอยู่ที่หมายเลขโทรศัพท์และที่อยู่อีเมล ซึ่งสามารถใช้ในการโจมตีแบบฟิชชิงที่เป็นเป้าหมายในอนาคต ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Patrick Kelley กล่าวในการสัมภาษณ์ทางอีเมล
Jacob Ansari ผู้เชี่ยวชาญด้านความปลอดภัยที่ Schellman & Company ผู้ประเมินความปลอดภัยอิสระระดับโลกและการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัว เห็นด้วยว่าฟิชชิ่งอาจเป็นเป้าหมายของแฮ็กเกอร์ที่อาจเป็นไปได้
"ผู้โจมตีที่อยู่ใกล้กับอุปกรณ์เป้าหมายสามารถรับชื่อผู้ใช้ (อาจเป็นที่อยู่อีเมล) และหมายเลขโทรศัพท์ได้อย่างง่ายดายมาก" เขากล่าวในการสัมภาษณ์ทางอีเมล "อาจเป็นประโยชน์มากที่สุดในการได้รับหมายเลขโทรศัพท์ของเหยื่อรายใดรายหนึ่ง เช่น คนดังหรือเป้าหมายเฉพาะ (เช่น CEO ของบริษัท) แต่ก็มีประโยชน์ในการเพิ่มฟิชชิ่งโดยตรงหรือการโจมตีที่คล้ายกันกับคนที่มีชื่อเสียงน้อยกว่า"
ไม่ใช่แค่ข้อบกพร่องที่เพิ่งค้นพบซึ่งเป็นปัญหากับ AirDrop ในช่วงหลายปีที่ผ่านมา ผู้ใช้ที่ไม่ระบุตัวตนสามารถพุชรูปภาพหรือไฟล์ไปยังอุปกรณ์เป้าหมายได้โดยใช้ AirDrop
"สิ่งนี้ถูกใช้เพื่อขัดขวางกิจกรรมมัลติมีเดียสาธารณะโดยรูปภาพ AirDropping [สำหรับผู้ใหญ่]" Kelley กล่าว "อย่างที่กล่าวไปแล้วว่ามี 'แคมเปญเชิงบวก' ที่ผู้ใช้ที่ไม่ระบุตัวตนใช้ภาพสร้างแรงบันดาลใจ AirDropping ไปยังอุปกรณ์เป้าหมาย"
อย่าตื่นตระหนก ผู้เชี่ยวชาญพูด
แต่อย่ากังวลมากเกินไปเกี่ยวกับข้อบกพร่องของ AirDrop Oliver Tavakoli หัวหน้าเจ้าหน้าที่เทคโนโลยีของ Vectra บริษัท รักษาความปลอดภัยในโลกไซเบอร์กล่าวในการสัมภาษณ์ทางอีเมล ผู้โจมตีจะต้องอยู่ใกล้กับคุณและมีงานบางอย่างที่จำเป็นในการถอดรหัสที่อยู่อีเมลและหมายเลขโทรศัพท์ของคุณ แน่นอน Apple สามารถและควรแก้ไขข้อบกพร่องนี้
"อย่างไรก็ตาม ขอให้มองในแง่ดี" Tavakoli กล่าว "หากการแฮ็กที่อธิบายไว้สำเร็จ ผู้โจมตีจะมีที่อยู่อีเมลและหมายเลขโทรศัพท์ของคนแปลกหน้าที่อยู่ใกล้เคียง ไม่ใช่จุดจบของโลก"
ในขณะที่ Apple ยังไม่ได้แก้ไขปัญหา AirDrop มีหลายสิ่งที่คุณทำได้เพื่อช่วยบรรเทาปัญหาดังกล่าว ผู้ใช้ควรปิดการใช้งาน AirDrop หากไม่ได้ใช้งาน Kelley กล่าว คุณยังสามารถพิจารณาใช้โครงการโอเพนซอร์ซชื่อ PrivateDrop ซึ่งอ้างว่าได้แก้ไขกระบวนการตรวจสอบรายชื่อผู้ติดต่อแล้ว โซลูชันนี้ใช้แทน AirDrop ได้ฟรี
แต่สิ่งที่ดีที่สุดที่ผู้ใช้ทำได้คือระวังว่าใครกำลังพยายามส่งไฟล์ให้พวกเขา Schless กล่าว
"การรับการแจ้งเตือน AirDrop จากบุคคลที่ไม่รู้จักเป็นธงสีแดงขนาดใหญ่" เขากล่าวเสริม "เรียกใช้อุปกรณ์มือถือของคุณด้วยนโยบายการเข้าถึงและสิทธิ์ที่จำเป็นน้อยที่สุด พยายามลดจำนวนข้อมูลและการอนุญาตการเข้าถึงอุปกรณ์ที่คุณอนุญาตให้แอปของคุณมีเพื่อลดความเสี่ยงต่อการคุกคามทางไซเบอร์"
