Oavsett om du kontrollerar textmeddelanden på din smartwatch eller delar selfies med en vän på en konsert, det blir enklare och lättare att skicka filer och information mellan enheter. Men denna anslutning kan komma på bekostnad av säkerheten.

Ett team av forskare från Northeastern University och Technical University of Darmstadt i Tyskland upptäckte nyligen en rad brister som gör Apples AirDrop och liknande tjänster sårbara för attacker. Deras arbete presenterades på Usenix Security Symposium förra veckan.

"Den värsta aspekten är att dessa attacker kan hända var som helst, säger Guevara Noubir, en professor i datavetenskap och chef för Northeasterns cybersäkerhetsprogram, som ingick i forskargruppen. "Angriparen behöver inte vara ansluten till ett nätverk."

AirDrop använder Apple Wireless Direct Link, ett protokoll som tillåter enheter i närheten att kommunicera med varandra genom en kombination av Bluetooth- och Wi-Fi-teknik. Forskarna fann designfel och implementeringsbuggar som skulle tillåta en angripare att krascha enheter, spåra användare, och fånga upp filer.

"Alla Apple-enheter förlitar sig på Apple Wireless Direct Link för att upptäcka närliggande enheter, "Säger Noubir." Din telefon till din bärbara dator eller till din smartwatch eller Apple TV. De använder det alla. "

I deras första attack, Noubir och hans medarbetare visade att de kunde använda Apple Wireless Direct Link för att spåra en viss enhet och, i många fall, skaffa personlig information om sin ägare.

Föreställ dig att du använder AirDrop för att skicka ett foto till din vän (vi kallar honom Gary). När du trycker på ikonen "dela" din telefon skickar ut en signal för att väcka alla enheter i närheten. Om Gary har sin iPhones AirDrop inställd för att ta emot data från vem som helst, hans telefon delar automatiskt identifierande information. Om han har AirDrop inställd på "endast kontakter, " hans enhet kommer bara att vakna och skicka denna information om den tror att du finns i hans kontakter.

Varje gång du lägger till en kontakt i din telefon, den är tilldelad en kondenserad, identifierande uppsättning nummer. Om en enhet i närheten skickar en signal med dessa nummer, din telefon antar att enheten finns i dina kontakter och svarar med mer information. Garys telefon kommer att känna igen din och svara.

Men det finns inte ett oändligt antal identifierare. Faktiskt, det finns bara 65, 536 möjligheter.

"Vilket betyder att om någon skickar dessa 65, 536 möjliga meddelanden, varje enhet skulle vakna och säga, "Det här är jag, "" säger Noubir. "Och då kan du spåra dem."

Så länge en angripare skickar ett meddelande som matchar en av dina kontakter, din telefon svarar automatiskt. Ju fler kontakter du har i din telefon, desto mindre tid tar det för en angripare att slå på en matchande identifierare. Men även när de attackerade en telefon med bara en kontakt, forskarna fann att de kunde skicka alla 65, 536 meddelanden på cirka 30 sekunder.

I en separat attack, Noubir och hans kollegor kunde störa kommunikationen mellan två enheter, fånga upp filerna som överförs, och skicka vidare sina egna filer istället.

Föreställ dig detta:Du och Gary håller båda dina AirDrop i "endast kontakter"-läge. Du försöker skicka en fil till Gary, men din telefon verkar inte upptäcka hans. Konstig. Gary byter sin telefon för att ta emot filer från vem som helst, för att se om det hjälper. Det fungerar! Du ser "Garys iPhone" visas på skärmen. Du skickar filen till Gary, och han accepterar det.

Men det var inte du som skickade honom den filen.

Genom att förhindra att de två telefonerna upptäcker varandra, forskarna skapade en möjlighet att maskera sig som den förväntade avsändaren och mottagaren.

"Vi kan lägga in oss, " säger Noubir. "Det kommer att finnas en säker anslutning från en telefon till oss och en säker anslutning från oss till den andra telefonen, men de tror att de pratar med varandra. "

Och nu har angriparen filen du försökte skicka och stackars Gary har ett virus på sin telefon.

Forskarna visade också att de kunde få en rad enheter att krascha samtidigt. Den senaste attacken utnyttjade en bugg i Apple Wireless Direct Link, som Apple kunde korrigera efter att teamet rapporterade det. Noubirs medarbetare inkluderade Sashank Narain, en postdoktor vid Northeastern; Milan Stute, en doktorand vid tekniska universitetet i Darmstadt som var gästforskare vid Northeastern; och flera andra studenter och fakulteter från Darmstadts tekniska universitet (Alex Mariotto, Alexander Heinrich, David Kreischmann, och Matthias Hollick).

De andra sårbarheter som forskarna har upptäckt (och rapporterat till Apple) kommer att bli mer av en utmaning att lösa, eftersom de är inbyggda i designen av tekniken.

"De kunde designa om det mer noggrant, med olika mekanismer för att skydda mot dessa attacker, "Säger Noubir." Det är bara det att det är svårt när alla dessa enheter är implementerade. Du behöver det för att vara kompatibelt. "

Så vad kan Apple-användare göra under tiden? Installera alla uppdateringar som kommer ut, Noubir säger, och överväga att stänga av AirDrop, eller åtminstone begränsa det till dina kontakter.

"Tyvärr, Utformningen av många mobila och trådlösa system prioriterar användarbekvämlighet och resurseffektivitet, tills attacker är praktiskt demonstrerade och inte längre kan ignoreras, Säger Noubir.