मुख्य तथ्य
- एयरड्रॉप आपके दोस्तों को फोटो भेजने के लिए बहुत अच्छा है, लेकिन हाल ही में खोजी गई एक खामी का मतलब है कि अजनबी भी आपकी संपर्क जानकारी प्राप्त कर सकते हैं।
- अजनबी केवल अन्य लोगों के वाई-फाई रेंज में आईओएस या मैकओएस साझाकरण फलक खोलकर आपका फोन नंबर और ईमेल पता देख सकते हैं।
- यह दिखाया गया है कि अनाम उपयोगकर्ता AirDrop का उपयोग करके उपकरणों को लक्षित करने के लिए फ़ोटो या फ़ाइलों को पुश कर सकते हैं।
Apple का AirDrop फीचर चीजों को साझा करने का एक आसान तरीका है, लेकिन यह एक गोपनीयता जोखिम भी हो सकता है।
हाल ही में खोजा गया एयरड्रॉप दोष अजनबियों को अन्य लोगों के वाई-फाई रेंज के भीतर केवल आईओएस या मैकओएस साझाकरण फलक खोलकर आपका फोन नंबर और ईमेल पता देखने देता है। यह गोपनीयता की कई कमजोरियों में से एक है जिसके बारे में Mac और iOS उपयोगकर्ताओं को पता होना चाहिए।
"हमारे आईओएस डिवाइस अनगिनत सोशल मीडिया ऐप, थर्ड-पार्टी मैसेजिंग प्लेटफॉर्म और नेटवर्किंग साइटों से जुड़े हैं जो लोगों को एक-दूसरे के साथ सभी प्रकार की सामग्री साझा करने की अनुमति देते हैं," साइबर सुरक्षा फर्म लुकआउट के एक सुरक्षा विशेषज्ञ हैंक श्लेस, एक ईमेल साक्षात्कार में कहा। "यदि आप किसी अज्ञात संपर्क से किसी प्रकार की फ़ाइल प्राप्त करते हैं, तो आपको इसे हमेशा संभावित रूप से खतरनाक माना जाना चाहिए जब तक कि अन्यथा साबित न हो जाए।"
एप्पल एक फिक्स पर चुप रहता है
एयरड्रॉप के लिए सुरक्षा प्रोटोकॉल में खामियां कथित तौर पर 2019 में शोधकर्ताओं द्वारा उजागर की गईं, जिन्होंने ऐप्पल को समस्या के बारे में बताया। हालांकि, कंपनी ने अभी तक कोई समाधान नहीं दिया है। हाल ही के एक पेपर में पाया गया कि यह मुद्दा पहले ज्ञात की तुलना में अधिक व्यापक है।
"चूंकि संवेदनशील डेटा आम तौर पर उन लोगों के साथ साझा किया जाता है जिन्हें उपयोगकर्ता पहले से जानते हैं, एयरड्रॉप केवल डिफ़ॉल्ट रूप से पता पुस्तिका संपर्कों से रिसीवर डिवाइस दिखाता है," रिपोर्ट में कहा गया है। "यह निर्धारित करने के लिए कि क्या दूसरा पक्ष संपर्क है, एयरड्रॉप एक पारस्परिक प्रमाणीकरण तंत्र का उपयोग करता है जो उपयोगकर्ता के फोन नंबर और ईमेल पते की तुलना दूसरे उपयोगकर्ता की पता पुस्तिका में प्रविष्टियों के साथ करता है।"
अज्ञात व्यक्ति से एयरड्रॉप सूचना प्राप्त करना एक बड़ा लाल झंडा है।
साइबर सुरक्षा विशेषज्ञ पैट्रिक केली ने एक ईमेल साक्षात्कार में कहा, डेटा चोरी के लिए एयरड्रॉप का उपयोग करने में समस्या फोन नंबर और ईमेल पते तक सीमित प्रतीत होती है, जिसका उपयोग भविष्य में लक्षित फ़िशिंग हमलों में किया जा सकता है।
जेकब अंसारी, स्केलमैन एंड कंपनी के एक सुरक्षा विशेषज्ञ, एक वैश्विक स्वतंत्र सुरक्षा और गोपनीयता अनुपालन मूल्यांकनकर्ता, ने सहमति व्यक्त की कि फ़िशिंग किसी भी संभावित हैकर का लक्ष्य हो सकता है।
एक ईमेल साक्षात्कार में उन्होंने कहा, "लक्षित डिवाइस से निकटता वाला एक हमलावर उपयोगकर्ता नाम (शायद ईमेल पता) और फोन नंबर बहुत आसानी से प्राप्त कर सकता है।" "यह शायद किसी विशेष पीड़ित का फोन नंबर प्राप्त करने में सबसे उपयोगी है, जैसे कि एक सेलिब्रिटी या विशेष लक्ष्य (उदाहरण के लिए, एक कंपनी सीईओ), लेकिन कम प्रसिद्ध लोगों के खिलाफ अधिक प्रत्यक्ष फ़िशिंग या इसी तरह के हमले को बढ़ाने में भी उपयोगी है।"
यह सिर्फ हाल ही में खोजी गई खराबी नहीं है जो AirDrop के साथ एक समस्या है। वर्षों से, यह दिखाया गया है कि अनाम उपयोगकर्ता AirDrop का उपयोग करके उपकरणों को लक्षित करने के लिए फ़ोटो या फ़ाइलों को पुश कर सकते हैं।
"इसका उपयोग एयरड्रॉपिंग [वयस्क] छवियों द्वारा सार्वजनिक मल्टीमीडिया कार्यक्रमों को बाधित करने के लिए किया गया है," केली ने कहा। "ऐसा कहा जा रहा है, एक 'सकारात्मकता अभियान' था जहां अज्ञात उपयोगकर्ता उपकरणों को लक्षित करने के लिए प्रेरक छवियों को एयरड्रॉप कर रहे थे।"
घबराएं नहीं, विशेषज्ञों का कहना है
लेकिन एयरड्रॉप दोष के बारे में ज्यादा चिंता न करें, साइबर सुरक्षा फर्म वेक्ट्रा के मुख्य प्रौद्योगिकी अधिकारी ओलिवर तवाकोली ने एक ईमेल साक्षात्कार में कहा। हमलावर को आपके अपेक्षाकृत निकट भौतिक निकटता में होना चाहिए, और आपके ईमेल पते और फोन नंबर को क्रैक करने के लिए कुछ काम करने की आवश्यकता है। बेशक, Apple इस दोष को ठीक कर सकता है और करना चाहिए।
"हालांकि, इसे परिप्रेक्ष्य में रखें," तवाकोली ने कहा, "यदि वर्णित हैक सफल होता है, तो एक हमलावर के पास पास के किसी अजनबी का ईमेल पता और फोन नंबर होगा। दुनिया का अंत बिल्कुल नहीं है।"
जबकि Apple ने अभी तक AirDrop समस्या को ठीक नहीं किया है, कुछ चीजें हैं जो आप इसे कम करने में मदद कर सकते हैं। केली ने कहा कि यदि इसका उपयोग नहीं किया जा रहा है तो उपयोगकर्ताओं को एयरड्रॉप को अक्षम कर देना चाहिए। आप PrivateDrop नामक एक ओपन-सोर्स प्रोजेक्ट का उपयोग करने पर भी विचार कर सकते हैं, जो संपर्क सूची सत्यापन प्रक्रिया को हल करने का दावा करता है। समाधान एयरड्रॉप प्रतिस्थापन के रूप में उपयोग करने के लिए स्वतंत्र है।
लेकिन सबसे अच्छी बात जो उपयोगकर्ता कर सकते हैं, वह यह है कि कौन उन्हें फाइल भेजने की कोशिश कर रहा है, इससे सावधान रहें, श्लेस ने कहा।
"अज्ञात व्यक्ति से एयरड्रॉप सूचना प्राप्त करना एक विशाल लाल झंडा है," उन्होंने कहा। "अपने मोबाइल उपकरणों को कम से कम आवश्यक पहुंच और विशेषाधिकार की नीति पर चलाएं। साइबर खतरों के संभावित जोखिम को कम करने के लिए सक्रिय रूप से डेटा और डिवाइस एक्सेस अनुमतियों की संख्या को कम करने का प्रयास करें जो आप अपने ऐप्स को देते हैं।"
