I lang tid var det enkleste alternativet for deling av bilder og filer å legge dem til e-post. Fremskritt ble gjort i teksting, og det ble med i e-post som en populær delingsmodus. Apple introduserte deretter sin AirDrop-funksjon, som gjorde det enkelt å dele med folk i nærheten. Imidlertid har forskere koblet AirDrop til personvernlekkasjer.
AirDrop-personvernlekkasjer
Jeg skal innrømme – jeg til og med arkiverer Airdrop til meg selv. Hvis jeg jobber med en produktanmeldelse og tar noen bilder med min iPhone, fylles de ikke alltid raskt nok til at jeg umiddelbart kan bruke dem på iPad Pro. Så jeg bare AirDrop dem fra iPhone til iPad. Det har ikke engang skjedd meg at det kan være personvernproblemer når jeg slipper fra en av enhetene mine til en annen.
Forskere ved Tysklands Technische Universitat Darmstadt kalte Apple ut for AirDrop-personvernlekkasjer de har funnet. Det viser seg at du ikke bare åpner enheten for den andre AirDrop-mottakeren – du åpner den for alle i nærheten.
AirDrop tillater direkte overføring av bilder, videoer og filer mellom iPhones, iPads og Mac-maskiner. Som standard viser alternativet alternativer for enheter i nærheten som brukes av kontaktene dine.
EN TU-blogginnlegg forklarer, “AirDrop bruker en gjensidig autentiseringsmekanisme som sammenligner brukerens telefonnummer og e-postadresse med oppføringer i den andre brukerens adressebok” for å bestemme hvilke tilgjengelige enheter som hører til kontaktene dine.
Men folk med en Wi-Fi-kompatibel enhet kan fortsatt starte et angrep på enheten din – selv om de er en helt fremmed. Hvis du starter delingsalternativet på enheten din, blir du synlig for en angriper i nærheten.
Apple bruker hash-funksjoner for å tilsløre telefonnummer og e-postadresser i oppdagelsen. Forskerne lærte at hashing-prosessen ikke gir privatliv mens den oppdager enheter i nærheten. Hashverdiene er åpne for å bli reversert med brutal kraft og andre angrep.
Løsninger
Forskerne utviklet sin egen løsning på AirDrop personvernlekkasjer. De opprettet “PrivateDrop” for å erstatte AirDrop. Blogginnlegget forklarer at det er “basert på optimaliserte kryptografiske private sett kryssprotokoller som sikkert kan utføre kontaktoppdagelsesprosessen mellom to brukere uten å utveksle sårbare hashverdier.
“Forskernes iOS / macOS-implementering av PrivateDrop viser at det er effektivt nok til å bevare AirDrops eksemplariske brukeropplevelse med en godkjenningsforsinkelse langt under ett sekund.”
Til tross for at forskerne kaller AirDrops personvernlekkasje for Apples oppmerksomhet for to år siden, har ikke selskapet svart. Forskerne mener det setter alle Apple-enhetsbrukere i fare.
En ting du kan gjøre for å beskytte enheten din er å slå av funksjonen. Gå til Innstillinger → Generelt → AirDrop. Forsikre deg om at “Mottak av” er valgt.
Blogginnlegget foreslår også at du ikke bruker delingsmenyen. Men det er nesten umulig – i det minste for min bruk. Ikke gjennom AirDrop – men andre apper. Jeg bruker det hele tiden gjennom hele arbeidet mitt. Imidlertid jobber jeg hjemmefra 99 prosent av tiden, så jeg trenger bare å prøve å unngå å bruke det ved anledninger jeg jobber på et venterom på et legekontor eller lignende, så er jeg trygg.
Les videre for å lære om Android i nærheten, Android-svaret til AirDrop som ble introdusert i fjor. Det er ukjent om det også lider av personvernlekkasjer.