Pourquoi AirDrop peut ne pas sceller
points clés
- AirDrop est idéal pour envoyer des photos à vos amis, mais une faille récemment découverte signifie que des étrangers peuvent également obtenir vos coordonnées.
- Les étrangers peuvent voir votre numéro de téléphone et votre adresse e-mail simplement en ouvrant le module de partage iOS ou macOS à portée Wi-Fi de quelqu’un d’autre.
- Il a été démontré que les utilisateurs anonymes peuvent utiliser AirDrop pour transférer des photos ou des fichiers vers des appareils cibles.
Fatido/Getty Images
La fonctionnalité AirDrop d’Apple est un moyen pratique de partager du contenu, mais elle peut également présenter des risques pour la confidentialité.
Une vulnérabilité AirDrop récemment découverte permet aux étrangers de voir votre numéro de téléphone et votre adresse e-mail simplement en ouvrant un module de partage iOS ou macOS à portée Wi-Fi de quelqu’un d’autre. Il s’agit de l’une des nombreuses failles de confidentialité que les utilisateurs de Mac et iOS doivent connaître.
« Nos appareils iOS se connectent à d’innombrables applications de médias sociaux, plates-formes de messagerie tierces et sites de réseautage, permettant aux gens de partager toutes sortes de contenus entre eux », a déclaré Hank Schless, expert en sécurité de la société de cybersécurité Lookout, dans une interview par e-mail. . « Si vous recevez n’importe quel type de document d’un contact inconnu, vous devez toujours le traiter comme potentiellement dangereux jusqu’à preuve du contraire. »
Apple reste silencieux sur les correctifs
Les chercheurs auraient découvert une faille dans le protocole de sécurité AirDrop en 2019, et ils ont informé Apple du problème. Cependant, l’entreprise n’a pas encore fourni de solution. Un article récent révèle que le problème est plus vaste qu’on ne le savait auparavant.
« Parce que les données sensibles ne sont souvent partagées qu’avec des personnes connues de l’utilisateur, AirDrop n’affiche par défaut que l’appareil récepteur pour les contacts du carnet d’adresses », indique le rapport. « Pour déterminer si une personne est un contact, AirDrop utilise un mécanisme d’authentification mutuelle qui compare le numéro de téléphone et l’adresse e-mail d’un utilisateur avec les entrées des carnets d’adresses d’autres utilisateurs. »
Recevoir une notification AirDrop d’un individu inconnu est un énorme drapeau rouge.
Le problème du vol de données à l’aide d’AirDrop semble se limiter aux numéros de téléphone et aux adresses e-mail, qui pourraient être utilisés dans de futures attaques de phishing ciblées, a déclaré l’expert en cybersécurité Patrick Kelly dans une interview par e-mail.
Jacob Ansari, expert en sécurité chez Schellman & Company, une société mondiale indépendante d’évaluation de la conformité en matière de sécurité et de confidentialité, convient que le phishing est une cible probable pour tout pirate informatique potentiel.
« Un attaquant proche de l’appareil ciblé pourrait facilement obtenir des noms d’utilisateur (probablement des adresses e-mail) et des numéros de téléphone », a-t-il déclaré dans une interview par e-mail. « C’est probablement mieux pour obtenir le numéro de téléphone d’une victime spécifique, comme une célébrité ou une cible spécifique (par exemple, un PDG d’entreprise), mais c’est également utile lors du lancement d’un hameçonnage plus direct ou d’une attaque similaire sur une personne moins connue plus tard. sur. »
pomme
Les problèmes d’AirDrop ne sont pas seulement un bogue récemment découvert. Pendant des années, il a été prouvé que les utilisateurs anonymes peuvent utiliser AirDrop pour pousser des photos ou des fichiers vers des appareils cibles.
« Cela a été utilisé pour perturber les événements multimédias publics via AirDropping [adult] images », a déclaré Kelley. « Cela étant dit, il y a un » mouvement positif « , où les utilisateurs anonymes diffusent des images incitatives sur des appareils ciblés. »
les experts disent ne paniquez pas
Mais Oliver Tavakoli, directeur de la technologie de la société de cybersécurité Vectra, a déclaré dans une interview par e-mail qu’il ne fallait pas trop s’inquiéter des défauts d’AirDrop. Un attaquant devrait être relativement proche physiquement de vous, et il faudrait du travail pour déchiffrer votre adresse e-mail et votre numéro de téléphone. Bien sûr, Apple peut et doit corriger cette faille.
Tavakoli a ajouté: « Cependant, mettons cela en perspective, si le piratage décrit réussit, l’attaquant aurait obtenu les adresses e-mail et les numéros de téléphone d’étrangers à proximité. Ce n’est pas la fin du monde. »
filadendron/Getty Images
Bien qu’Apple n’ait pas résolu le problème d’AirDrop, vous pouvez faire certaines choses pour aider à résoudre le problème. S’ils n’utilisent pas AirDrop, les utilisateurs doivent le désactiver, a déclaré Kelley. Vous pouvez également envisager d’utiliser un projet open source appelé PrivateDrop, qui prétend avoir résolu le processus de vérification de la liste de contacts. Cette solution peut être utilisée gratuitement comme alternative à AirDrop.
Mais la meilleure chose que les utilisateurs puissent faire est de se méfier de qui essaie de leur envoyer des fichiers, a déclaré Schless.
« Recevoir une notification AirDrop d’une personne inconnue est un énorme drapeau rouge », a-t-il ajouté. « Exécutez vos appareils mobiles avec les politiques d’accès et de privilèges les moins nécessaires. Essayez activement de réduire la quantité de données et d’accès aux appareils que vous autorisez vos applications à minimiser l’exposition potentielle aux cybermenaces. »
Merci de nous en informer!
Recevez chaque jour les dernières actualités technologiques
abonnement
Dites-nous pourquoi !
D’autres ne sont pas assez détaillés pour comprendre
