Долгое время самым простым способом обмена изображениями и файлами было прикрепление их к электронным письмам. Были достигнуты успехи в области текстовых сообщений, и электронная почта стала популярным способом обмена сообщениями. Затем Apple представила функцию AirDrop, которая упростила обмен данными с людьми поблизости. Однако исследователи связали AirDrop с утечками конфиденциальной информации.
Утечки конфиденциальной информации AirDrop
Признаюсь, я даже отправляю файлы себе через Airdrop. Если я работаю над обзором продукта и делаю несколько фотографий на свой iPhone, они не всегда загружаются в iCloud достаточно быстро, чтобы я мог немедленно использовать их на своем iPad Pro. Поэтому я просто перебрасываю их с iPhone на iPad. Мне даже в голову не приходило, что могут возникнуть проблемы с конфиденциальностью, когда я переключаюсь с одного устройства на другое.
Исследователи из немецкого Технического университета Дармштадта раскритиковали Apple за обнаруженную ими утечку конфиденциальной информации через AirDrop. Оказывается, вы не просто открываете свое устройство другому получателю AirDrop — вы открываете его всем, кто находится поблизости.
AirDrop позволяет напрямую передавать изображения, видео и файлы между iPhone, iPad и компьютерами Mac. По умолчанию этот параметр показывает параметры ближайших к вам устройств, которые используются вашими контактами.
В сообщении блога TU объясняется: «AirDrop использует механизм взаимной аутентификации, который сравнивает номер телефона и адрес электронной почты пользователя с записями в адресной книге другого пользователя», чтобы определить, какие доступные устройства принадлежат вашим контактам.
Однако люди с устройством с поддержкой Wi-Fi все равно могут атаковать ваше устройство, даже если они совершенно незнакомы. Если вы запустите функцию общего доступа на своем устройстве, вы станете доступным для злоумышленников поблизости.
Apple использует хеш-функции, чтобы скрыть номера телефонов и адреса электронной почты при обнаружении. Исследователи узнали, что процесс хеширования не обеспечивает конфиденциальность при обнаружении близлежащих устройств. Хэш-значения могут быть отменены с помощью грубой силы и других атак.
Решения
Исследователи разработали собственное решение проблемы утечки конфиденциальной информации через AirDrop. Они создали PrivateDrop вместо AirDrop. В сообщении блога объясняется, что он «основан на оптимизированных криптографических протоколах пересечения частных наборов, которые могут безопасно выполнять процесс обнаружения контактов между двумя пользователями без обмена уязвимыми хеш-значениями».
«Реализация PrivateDrop для iOS/macOS, разработанная исследователями, показывает, что она достаточно эффективна, чтобы обеспечить образцовый пользовательский интерфейс AirDrop с задержкой аутентификации значительно менее одной секунды».
Несмотря на то, что два года назад исследователи сообщили Apple об утечке конфиденциальной информации через AirDrop, компания не отреагировала. Исследователи считают, что это подвергает риску всех пользователей устройств Apple.
Чтобы защитить свое устройство, вы можете отключить эту функцию. Откройте «Настройки» → «Основные» → AirDrop. Убедитесь, что выбран параметр «Прием отключен».
В сообщении блога также предлагается не использовать меню общего доступа. Но это почти невозможно – по крайней мере, для моего использования. Не через AirDrop, а через другие приложения. Я использую его постоянно на протяжении всей своей работы. Однако 99 процентов времени я работаю дома, поэтому мне просто нужно стараться избегать его использования в тех случаях, когда я работаю в приемной у врача или где-то в другом месте, и тогда я буду в безопасности.
Прочитайте дальше, чтобы узнать об Android Nearby Share, Android-ответе AirDrop, представленном в прошлом году. Неизвестно, страдает ли он также от утечки конфиденциальной информации.