为什么空投不是无懈可击的

苹果的AIRDROP功能是一种方便的分享方式，但也可能有隐私风险。

最近发现的AirDrop漏洞可以让陌生人在其他人的Wi-Fi范围内打开iOS或macOS共享面板，就能看到你的电话号码和电子邮件地址。这是Mac和iOS用户应该知道的一系列隐私漏洞之一。

“我们的iOS设备已连接到无数的社交媒体应用，第三方消息传递平台和网络网站，允许人们互相分享各种内容，”汉克梭，安全专家网络安全坚定了望他在接受电子邮件采访时说。“如果你从一个未知联系人那里收到任何类型的文件，你应该始终把它视为潜在危险，直到证明它并非如此。”

苹果在修复上保持沉默

据报道，Airdrop安全协议的缺陷在2019年由研究人员发现，苹果公司知道这个问题。但是，该公司尚未提供解决方案。一种最近的一篇论文发现这个问题比以前知道的更广泛。

“作为敏感数据通常完全与用户已经知道的人共享，AirDrop默认情况下仅显示来自地址簿联系人的接收器设备，”报告说明。“要确定另一方是否是联系人，AirDrop使用相互认证机制，该机制将用户的电话号码和电子邮件地址与其他用户的地址簿中的条目进行比较。”

使用AirDrop进行数据盗窃的问题似乎仅限于电话号码和电子邮件地址，可以在未来的目标网络钓鱼攻击中使用，网络安全专家帕特里克·凯利说在电子邮件采访中说。

雅各布·安萨里是一名安全专家Schellman＆Company.作为全球独立的安全和隐私合规评估机构，他也认为网络钓鱼可能是任何潜在黑客的目标。

“接近目标设备的攻击者可以很容易地获得用户名(可能是电子邮件地址)和电话号码，”他在电子邮件采访中说。“它可能在获取特定受害者的电话号码时最有用，比如名人或特定目标(例如，公司首席执行官)，但在对不太出名的人发起更直接的网络钓鱼或类似攻击时也很有用。”

这不仅仅是最近发现的缺陷，这是AirDrop的一个问题。多年来，已经表明，匿名用户可以使用AITDrop将照片或文件推到目标设备。

“这已被用来通过Airdropping [成人]图像来破坏公共多媒体事件，”Kelley说。“据说，有一个”积极运动“，匿名用户将动机图像自适应瞄准设备。”

专家说，不要恐慌

但是，关于Airdrop缺陷，奥利弗塔沃利，首席技术官网络安全公司威达他在接受电子邮件采访时说。攻击者必须与您相对较近的身体邻近，并且需要一些工作来破解您的电子邮件地址和电话号码。当然，苹果可以并应该解决这个缺陷。

“但是，让我们以透视图”添加了Tavakoli，“如果所描述的黑客成功，攻击者将拥有附近陌生人的电子邮件地址和电话号码。不是完全是世界末日。”

虽然苹果还没有解决空投问题，但你可以做一些事情来帮助缓解这个问题。凯利说，如果AirDrop没有被使用，用户应该禁用它。你也可以考虑使用开源项目名为privatedrop，声称已经解决了联系人列表的验证过程。这个解决方案可以作为AirDrop的替代品免费使用。

但Schless说，用户能做的最好的事情就是警惕那些试图向他们发送文件的人。

“从一个未知的个人获得AirDrop通知是一个巨大的红旗，”他补充道。“在最不需要访问和权限的策略上运行您的移动设备。积极尝试减少您允许应用程序的数据和设备访问权限的数量，以便最大限度地减少网络威胁的潜在风险。”