Önemli Bilgiler
- AirDrop, arkadaşlarınıza fotoğraf göndermek için harikadır, ancak yakın zamanda keşfedilen bir kusur, yabancıların da iletişim bilgilerinizi alabileceği anlamına gelir.
- Yabancılar, diğer kişilerin Wi-Fi kapsama alanında bir iOS veya macOS paylaşım bölmesi açarak telefon numaranızı ve e-posta adresinizi görebilir.
- Anonim kullanıcıların AirDrop kullanarak fotoğrafları veya dosyaları hedef cihazlara gönderebileceği gösterildi.
Apple'ın AirDrop özelliği, bir şeyleri paylaşmanın kullanışlı bir yoludur, ancak aynı zamanda bir gizlilik riski de olabilir.
Yakın zamanda keşfedilen bir AirDrop kusuru, yabancıların yalnızca diğer kişilerin Wi-Fi menzilinde bir iOS veya macOS paylaşım bölmesi açarak telefon numaranızı ve e-posta adresinizi görmelerini sağlar. Bu, Mac ve iOS kullanıcılarının bilmesi gereken çeşitli gizlilik açıklarından biridir.
"iOS cihazlarımız, insanların her türlü içeriği birbirleriyle paylaşmasına olanak tanıyan sayısız sosyal medya uygulamasına, üçüncü taraf mesajlaşma platformuna ve ağ sitesine bağlı, " Hank Schless, siber güvenlik firması Lookout'ta güvenlik uzmanı, bir e-posta röportajında söyledi. "Bilinmeyen bir kişiden herhangi bir dosya alırsanız, aksi kanıtlanana kadar her zaman potansiyel olarak tehlikeli olarak değerlendirmelisiniz."
Apple Bir Düzeltmede Sessiz Kalıyor
AirDrop için güvenlik protokollerindeki kusurların, 2019'da Apple'a sorunu bildiren araştırmacılar tarafından keşfedildiği bildirildi. Ancak firma henüz bir çözüm sunmuş değil. Yakın tarihli bir makale, sorunun önceden bilinenden daha kapsamlı olduğunu buldu.
Raporda, "Hassas veriler genellikle yalnızca kullanıcıların zaten tanıdığı kişilerle paylaşıldığından, AirDrop varsayılan olarak yalnızca adres defteri kişilerindeki alıcı cihazları gösterir" dedi. AirDrop, diğer tarafın bir kişi olup olmadığını belirlemek için, bir kullanıcının telefon numarasını ve e-posta adresini diğer kullanıcının adres defterindeki girişlerle karşılaştıran karşılıklı bir kimlik doğrulama mekanizması kullanır."
Bilinmeyen bir kişiden AirDrop bildirimi almak büyük bir tehlike işaretidir.
Siber güvenlik uzmanı Patrick Kelley bir e-posta röportajında, veri hırsızlığı için AirDrop kullanma sorununun gelecekte hedeflenen kimlik avı saldırılarında kullanılabilecek telefon numaraları ve e-posta adresleriyle sınırlı olduğunu söyledi.
Küresel bağımsız bir güvenlik ve gizlilik uyumluluğu değerlendiricisi olan Schellman &Company'de bir güvenlik uzmanı olan Jacob Ansari, kimlik avının tüm potansiyel bilgisayar korsanlarının hedefi olabileceği konusunda hemfikirdi.
"Hedef cihaza yakınlığı olan bir saldırgan, bir kullanıcı adını (muhtemelen e-posta adresini) ve telefon numarasını çok kolay bir şekilde alabilir" dedi. "Belki de bir ünlü veya belirli bir hedef (örneğin, bir şirket CEO'su) gibi belirli bir kurbanın telefon numarasını almak için en faydalı olanıdır, ancak daha sonra daha az ünlü kişilere karşı daha doğrudan bir kimlik avı veya benzeri bir saldırı düzenlemek için de yararlıdır."
AirDrop ile ilgili bir sorun yalnızca yakın zamanda keşfedilen kusur değil. Yıllar geçtikçe, anonim kullanıcıların AirDrop kullanarak fotoğrafları veya dosyaları hedef cihazlara gönderebileceği gösterildi.
"Bu, AirDropping [yetişkin] görüntülerle halka açık multimedya etkinliklerini bozmak için kullanıldı," dedi Kelley. "Bununla birlikte, anonim kullanıcıların hedef cihazlara AirDropping motivasyon görüntüleri sunduğu bir 'olumluluk kampanyası' vardı."
Panik Yapmayın, Uzmanlar Diyor
Ancak, siber güvenlik firması Vectra'nın baş teknoloji sorumlusu Oliver Tavakoli bir e-posta röportajında, AirDrop kusuru hakkında çok fazla endişelenmeyin. Saldırganın size fiziksel olarak yakın olması gerekir ve e-posta adresinizi ve telefon numaranızı kırmak için yapılması gereken bazı işler vardır. Elbette Apple bu kusuru düzeltebilir ve düzeltmeli.
"Ancak, bunu bir perspektif içinde tutalım," diye ekledi Tavakoli, "tarif edilen saldırı başarılı olursa, saldırgan yakınlardaki bir yabancının e-posta adresine ve telefon numarasına sahip olacaktır. Tam olarak dünyanın sonu değil."
Apple, AirDrop sorununu henüz çözmediyse de, sorunu hafifletmek için yapabileceğiniz şeyler var. Kelley, kullanılmıyorsa kullanıcıların AirDrop'u devre dışı bırakması gerektiğini söyledi. Ayrıca, kişi listesi doğrulama sürecini çözdüğünü iddia eden PrivateDrop adlı açık kaynaklı bir proje kullanmayı da düşünebilirsiniz. Çözüm, AirDrop'un yerine geçmek için ücretsizdir.
Ancak kullanıcıların yapabileceği en iyi şey, onlara kimin dosya göndermeye çalıştığına karşı dikkatli olmaktır, dedi Schless.
"Bilinmeyen bir kişiden AirDrop bildirimi almak büyük bir kırmızı bayraktır" diye ekledi. "Mobil cihazlarınızı en az gerekli erişim ve ayrıcalık ilkesiyle çalıştırın. Potansiyel siber tehditlere maruz kalmayı en aza indirmek için uygulamalarınızın sahip olmasına izin verdiğiniz veri ve cihaz erişim izinlerinin sayısını etkin bir şekilde az altmaya çalışın."
