Princípios importantes
- AirDrop é ótimo para enviar fotos para seus amigos, mas uma falha descoberta recentemente significa que estranhos também podem obter suas informações de contato.
- Estranhos podem ver seu número de telefone e endereço de e-mail apenas abrindo um painel de compartilhamento iOS ou macOS dentro do alcance Wi-Fi de outras pessoas.
- Foi demonstrado que usuários anônimos podem enviar fotos ou arquivos para dispositivos de destino usando o AirDrop.
O recurso AirDrop da Apple é uma maneira prática de compartilhar coisas, mas também pode ser um risco à privacidade.
Uma falha do AirDrop recentemente descoberta permite que estranhos vejam seu número de telefone e endereço de e-mail apenas abrindo um painel de compartilhamento iOS ou macOS dentro do alcance Wi-Fi de outras pessoas. É uma das várias vulnerabilidades de privacidade que os usuários de Mac e iOS devem conhecer.
"Nossos dispositivos iOS estão conectados a inúmeros aplicativos de mídia social, plataformas de mensagens de terceiros e sites de rede que permitem que as pessoas compartilhem todo tipo de conteúdo entre si", Hank Schless, especialista em segurança da empresa de segurança cibernética Lookout, disse em uma entrevista por e-mail. "Se você receber qualquer tipo de arquivo de um contato desconhecido, você deve sempre tratá-lo como potencialmente perigoso até prova em contrário."
Apple fica em silêncio em uma correção
As falhas nos protocolos de segurança do AirDrop foram descobertas em 2019 por pesquisadores, que informaram a Apple sobre o problema. No entanto, a empresa ainda não apresentou uma solução. Um artigo recente descobriu que o problema é mais extenso do que se sabia anteriormente.
"Como os dados confidenciais geralmente são compartilhados exclusivamente com pessoas que os usuários já conhecem, o AirDrop mostra apenas os dispositivos receptores dos contatos do catálogo de endereços por padrão", afirmou o relatório. "Para determinar se a outra parte é um contato, o AirDrop usa um mecanismo de autenticação mútua que compara o número de telefone e o endereço de e-mail de um usuário com as entradas do catálogo de endereços do outro usuário."
Receber uma notificação do AirDrop de um indivíduo desconhecido é uma grande bandeira vermelha.
O problema com o uso do AirDrop para roubo de dados parece estar limitado a números de telefone e endereços de e-mail, que podem ser usados em futuros ataques de phishing direcionados, disse o especialista em segurança cibernética Patrick Kelley em uma entrevista por e-mail.
Jacob Ansari, especialista em segurança da Schellman & Company, um avaliador global independente de segurança e conformidade de privacidade, concordou que o phishing pode ser o objetivo de qualquer hacker em potencial.
"Um invasor próximo a um dispositivo alvo pode obter um nome de usuário (provavelmente um endereço de e-mail) e um número de telefone com muita facilidade", disse ele em uma entrevista por e-mail. "Talvez seja mais útil para obter o número de telefone de uma vítima em particular, como uma celebridade ou alvo específico (por exemplo, o CEO de uma empresa), mas também é útil para montar um phishing mais direto ou ataque semelhante contra pessoas menos famosas."
Não é apenas a falha descoberta recentemente que é um problema com o AirDrop. Ao longo dos anos, foi demonstrado que usuários anônimos podem enviar fotos ou arquivos para dispositivos de destino usando o AirDrop.
"Isso tem sido usado para interromper eventos multimídia públicos por meio de AirDropping de imagens [adultas]", disse Kelley. "Dito isso, houve uma 'campanha de positividade' em que usuários anônimos lançaram imagens motivacionais no AirDropping para direcionar dispositivos."
Não entre em pânico, dizem os especialistas
Mas não se preocupe muito com a falha do AirDrop, disse Oliver Tavakoli, diretor de tecnologia da empresa de segurança cibernética Vectra, em entrevista por e-mail. O invasor precisa estar em uma proximidade física relativamente próxima de você, e há algum trabalho necessário para quebrar seu endereço de e-mail e número de telefone. Claro, a Apple pode e deve corrigir essa falha.
"No entanto, vamos manter isso em perspectiva", acrescentou Tavakoli, "se o hack descrito for bem-sucedido, um invasor terá o endereço de e-mail e o número de telefone de um estranho próximo. Não é exatamente o fim do mundo."
Embora a Apple ainda não tenha corrigido o problema do AirDrop, há coisas que você pode fazer para ajudar a mitigá-lo. Os usuários devem desativar o AirDrop se não estiver sendo usado, disse Kelley. Você também pode considerar o uso de um projeto de código aberto chamado PrivateDrop, que afirma ter resolvido o processo de verificação da lista de contatos. A solução pode ser usada gratuitamente como substituto do AirDrop.
Mas a melhor coisa que os usuários podem fazer é ter cuidado com quem está tentando enviar arquivos, disse Schless.
"Receber uma notificação do AirDrop de um indivíduo desconhecido é uma grande bandeira vermelha", acrescentou. "Execute seus dispositivos móveis em uma política de acesso e privilégios mínimos. Tente reduzir ativamente o número de permissões de acesso a dados e dispositivos que você permite que seus aplicativos tenham para minimizar a exposição potencial a ameaças cibernéticas."