Bài học rút ra chính
- AirDrop rất tuyệt để gửi ảnh cho bạn bè của bạn, nhưng một lỗ hổng được phát hiện gần đây có nghĩa là những người lạ cũng có thể lấy thông tin liên hệ của bạn.
- Người lạ có thể thấy số điện thoại và địa chỉ email của bạn chỉ bằng cách mở ngăn chia sẻ iOS hoặc macOS trong phạm vi Wi-Fi của người khác.
- Người ta đã chứng minh rằng người dùng ẩn danh có thể đẩy ảnh hoặc tệp tới các thiết bị nhắm mục tiêu bằng AirDrop.
Tính năng AirDrop của Apple là một cách tiện dụng để chia sẻ mọi thứ, nhưng nó cũng có thể là một rủi ro về quyền riêng tư.
Một lỗ hổng AirDrop được phát hiện gần đây cho phép người lạ nhìn thấy số điện thoại và địa chỉ email của bạn chỉ bằng cách mở ngăn chia sẻ iOS hoặc macOS trong phạm vi Wi-Fi của người khác. Đây là một trong những lỗ hổng bảo mật mà người dùng Mac và iOS nên biết.
"Các thiết bị iOS của chúng tôi được kết nối với vô số ứng dụng truyền thông xã hội, nền tảng nhắn tin của bên thứ ba và các trang web mạng cho phép mọi người chia sẻ tất cả các loại nội dung với nhau", Hank Schless, chuyên gia bảo mật tại công ty an ninh mạng Lookout, cho biết trong một cuộc phỏng vấn qua email. "Nếu bạn nhận được bất kỳ loại tệp nào từ một liên hệ không xác định, bạn phải luôn coi nó là có khả năng nguy hiểm cho đến khi được chứng minh ngược lại."
Apple Giữ im lặng về việc khắc phục
Các lỗ hổng trong giao thức bảo mật cho AirDrop đã được các nhà nghiên cứu phát hiện vào năm 2019, những người đã cho Apple biết về vấn đề này. Tuy nhiên, công ty vẫn chưa đưa ra giải pháp. Một bài báo gần đây cho thấy vấn đề này rộng hơn những gì đã biết trước đây.
"Vì dữ liệu nhạy cảm thường được chia sẻ riêng với những người mà người dùng đã biết, theo mặc định, AirDrop chỉ hiển thị thiết bị nhận từ danh bạ trong sổ địa chỉ", báo cáo nêu rõ. "Để xác định xem bên kia có phải là địa chỉ liên hệ hay không, AirDrop sử dụng cơ chế xác thực lẫn nhau để so sánh số điện thoại và địa chỉ email của người dùng với các mục nhập trong sổ địa chỉ của người dùng khác."
Nhận được thông báo AirDrop từ một cá nhân không xác định là một lá cờ đỏ lớn.
Vấn đề với việc sử dụng AirDrop để đánh cắp dữ liệu dường như chỉ giới hạn ở số điện thoại và địa chỉ email, có thể được sử dụng trong các cuộc tấn công lừa đảo có chủ đích trong tương lai, chuyên gia an ninh mạng Patrick Kelley cho biết trong một cuộc phỏng vấn qua email.
Jacob Ansari, chuyên gia bảo mật tại Schellman & Company, chuyên gia đánh giá tuân thủ quyền riêng tư và bảo mật độc lập toàn cầu, đã đồng ý rằng lừa đảo có thể là mục tiêu của bất kỳ tin tặc tiềm năng nào.
"Kẻ tấn công ở gần thiết bị mục tiêu có thể lấy được tên người dùng (có thể là địa chỉ email) và số điện thoại rất dễ dàng," ông nói trong một cuộc phỏng vấn qua email. "Nó có lẽ hữu ích nhất trong việc lấy số điện thoại của một nạn nhân cụ thể, chẳng hạn như người nổi tiếng hoặc mục tiêu cụ thể (ví dụ: Giám đốc điều hành công ty), nhưng cũng hữu ích trong việc thực hiện một cuộc tấn công lừa đảo trực tiếp hơn hoặc tương tự nhằm vào những người ít nổi tiếng hơn."
Không chỉ là lỗ hổng được phát hiện gần đây mà còn là vấn đề với AirDrop. Qua nhiều năm, người ta đã chứng minh được rằng người dùng ẩn danh có thể đẩy ảnh hoặc tệp tới các thiết bị nhắm mục tiêu bằng AirDrop.
"Điều này đã được sử dụng để làm gián đoạn các sự kiện đa phương tiện công cộng bằng hình ảnh AirDropping [người lớn]," Kelley nói. "Điều đó đang được nói, có một 'chiến dịch tích cực' trong đó những người dùng ẩn danh đang AirDropping hình ảnh động lực để nhắm mục tiêu thiết bị."
Đừng hoảng sợ, các chuyên gia nói
Nhưng đừng quá lo lắng về lỗ hổng AirDrop, Oliver Tavakoli, giám đốc công nghệ tại công ty an ninh mạng Vectra, cho biết trong một cuộc phỏng vấn qua email. Kẻ tấn công phải ở gần bạn và có một số công việc cần thiết để bẻ khóa địa chỉ email và số điện thoại của bạn. Tất nhiên, Apple có thể và nên sửa lỗi này.
"Tuy nhiên, hãy cân nhắc kỹ điều này," Tavakoli nói thêm, "nếu vụ hack được mô tả thành công, kẻ tấn công sẽ có địa chỉ email và số điện thoại của một người lạ gần đó. Không hẳn là ngày tận thế."
Mặc dù Apple vẫn chưa khắc phục sự cố AirDrop, nhưng có những điều bạn có thể làm để giúp giảm thiểu vấn đề này. Người dùng nên tắt AirDrop nếu nó không được sử dụng, Kelley nói. Bạn cũng có thể cân nhắc sử dụng một dự án mã nguồn mở có tên PrivateDrop, dự án này tuyên bố đã giải quyết xong quy trình xác minh danh sách liên hệ. Giải pháp được sử dụng miễn phí như một giải pháp thay thế AirDrop.
Nhưng điều tốt nhất mà người dùng có thể làm là cảnh giác với ai đang cố gắng gửi tệp cho họ, Schless nói.
"Nhận được thông báo AirDrop từ một cá nhân không xác định là một dấu hiệu đỏ lớn", anh ấy nói thêm. "Chạy các thiết bị di động của bạn theo chính sách về quyền truy cập và đặc quyền ít cần thiết nhất. Chủ động cố gắng giảm số lượng dữ liệu và quyền truy cập thiết bị mà bạn cho phép ứng dụng của mình có để giảm thiểu khả năng tiếp xúc với các mối đe dọa mạng".