Key Takeaways
- AirDrop sangat bagus untuk mengirim foto ke teman Anda, tetapi kelemahan yang baru ditemukan berarti orang asing juga bisa mendapatkan informasi kontak Anda.
- Orang asing dapat melihat nomor telepon dan alamat email Anda hanya dengan membuka panel berbagi iOS atau macOS dalam jangkauan Wi-Fi orang lain.
- Telah ditunjukkan bahwa pengguna anonim dapat mendorong foto atau file ke perangkat target menggunakan AirDrop.
Fitur AirDrop Apple adalah cara praktis untuk berbagi sesuatu, tetapi juga dapat menjadi risiko privasi.
Kelemahan AirDrop yang baru ditemukan memungkinkan orang asing melihat nomor telepon dan alamat email Anda hanya dengan membuka panel berbagi iOS atau macOS dalam jangkauan Wi-Fi orang lain. Ini adalah salah satu dari serangkaian kerentanan privasi yang harus diketahui pengguna Mac dan iOS.
"Perangkat iOS kami terhubung ke aplikasi media sosial yang tak terhitung jumlahnya, platform perpesanan pihak ketiga, dan situs jaringan yang memungkinkan orang untuk berbagi semua jenis konten satu sama lain," Hank Schless, pakar keamanan di firma keamanan siber Lookout, kata dalam sebuah wawancara email. "Jika Anda menerima file apa pun dari kontak yang tidak dikenal, Anda harus selalu memperlakukannya sebagai berpotensi berbahaya sampai terbukti sebaliknya."
Apple Tetap Diam pada Perbaikan
Kelemahan dalam protokol keamanan untuk AirDrop dilaporkan ditemukan pada tahun 2019 oleh para peneliti, yang memberi tahu Apple tentang masalah tersebut. Namun, perusahaan belum memberikan solusi. Sebuah makalah baru-baru ini menemukan masalah ini lebih luas daripada yang diketahui sebelumnya.
"Karena data sensitif biasanya dibagikan secara eksklusif dengan orang yang sudah dikenal pengguna, AirDrop hanya menampilkan perangkat penerima dari kontak buku alamat secara default," tulis laporan tersebut. "Untuk menentukan apakah pihak lain adalah kontak, AirDrop menggunakan mekanisme otentikasi timbal balik yang membandingkan nomor telepon dan alamat email pengguna dengan entri di buku alamat pengguna lain."
Mendapatkan pemberitahuan AirDrop dari individu yang tidak dikenal adalah tanda bahaya besar.
Masalah dengan menggunakan AirDrop untuk pencurian data tampaknya terbatas pada nomor telepon dan alamat email, yang dapat digunakan dalam serangan phishing yang ditargetkan di masa mendatang, kata pakar keamanan siber Patrick Kelley dalam sebuah wawancara email.
Jacob Ansari, pakar keamanan di Schellman & Company, penilai keamanan dan kepatuhan privasi independen global, setuju bahwa phishing dapat menjadi tujuan peretas potensial.
"Seorang penyerang yang dekat dengan perangkat target dapat memperoleh nama pengguna (mungkin alamat email) dan nomor telepon dengan sangat mudah," katanya dalam wawancara email. "Ini mungkin paling berguna untuk mendapatkan nomor telepon korban tertentu, seperti selebriti atau target tertentu (misalnya, CEO perusahaan), tetapi juga berguna untuk kemudian memasang phishing yang lebih langsung atau serangan serupa terhadap orang yang kurang terkenal."
Bukan hanya kelemahan yang baru ditemukan yang menjadi masalah dengan AirDrop. Selama bertahun-tahun, telah terbukti bahwa pengguna anonim dapat mendorong foto atau file ke perangkat target menggunakan AirDrop.
"Ini telah digunakan untuk mengganggu acara multimedia publik dengan AirDropping [dewasa] gambar," kata Kelley. "Karena itu, ada 'kampanye positif' di mana pengguna anonim mengirimkan gambar motivasi AirDropping ke perangkat target."
Jangan Panik, Kata Pakar
Tapi jangan terlalu khawatir tentang kekurangan AirDrop, Oliver Tavakoli, chief technology officer di perusahaan cybersecurity Vectra, mengatakan dalam sebuah wawancara email. Penyerang harus berada dalam jarak fisik yang relatif dekat dengan Anda, dan ada beberapa pekerjaan yang diperlukan untuk memecahkan alamat email dan nomor telepon Anda. Tentu saja, Apple dapat dan harus memperbaiki kekurangan ini.
"Namun, mari kita simpan ini dalam perspektif," tambah Tavakoli, "jika peretasan yang dijelaskan berhasil, penyerang akan memiliki alamat email dan nomor telepon orang asing terdekat. Bukan akhir dunia."
Meskipun Apple belum memperbaiki masalah AirDrop, ada beberapa hal yang dapat Anda lakukan untuk membantu menguranginya. Pengguna harus menonaktifkan AirDrop jika tidak digunakan, kata Kelley. Anda juga dapat mempertimbangkan untuk menggunakan proyek sumber terbuka bernama PrivateDrop, yang mengklaim telah menyelesaikan proses verifikasi daftar kontak. Solusinya gratis untuk digunakan sebagai pengganti AirDrop.
Tetapi hal terbaik yang dapat dilakukan pengguna adalah waspada terhadap siapa yang mencoba mengirimi mereka file, kata Schless.
"Mendapatkan pemberitahuan AirDrop dari individu yang tidak dikenal adalah tanda bahaya besar," tambahnya. "Jalankan perangkat seluler Anda dengan kebijakan akses dan hak istimewa yang paling tidak diperlukan. Secara aktif coba kurangi jumlah data dan izin akses perangkat yang Anda izinkan untuk dimiliki aplikasi Anda untuk meminimalkan potensi paparan ancaman dunia maya."
