愛鋒貝

標(biāo)題: iPhone 用戶需注意：AirDrop 存在安全漏洞，可能泄露電話號碼 [打印本頁]

作者: 新……起點(diǎn) 時間: 2021-4-26 09:45
標(biāo)題: iPhone 用戶需注意：AirDrop 存在安全漏洞，可能泄露電話號碼
　　隔空投送（AirDrop）是蘋果推出的一項(xiàng)無線傳輸功能，用戶可以利用該功能在不同的蘋果設(shè)備之間快速傳輸照片、文件等。然而，達(dá)姆施塔特工業(yè)大學(xué)的研究人員最近發(fā)現(xiàn)，該功能用于查找和驗(yàn)證某人的過程可能會暴露用戶的聯(lián)系人信息，可能將用戶 Apple 賬號綁定的電話號碼和電子郵箱泄露給附近的蘋果設(shè)備。

(, 下載次數(shù): 32)

　　蘋果隔空投送有三種模式：關(guān)閉、僅聯(lián)系人、所有人，系統(tǒng)默認(rèn)選擇為僅聯(lián)系人。研究人員表示，隔空投送使用相互認(rèn)證機(jī)制，該機(jī)制將用戶的電話號碼和電子郵件與其他用戶的地址簿中的條目進(jìn)行比較，而在此過程中，陌生人就可以破解驗(yàn)證的數(shù)據(jù)，從而拿到用戶的電話號碼和電子郵件。
　　具體影響有如下兩個方面：
　　1.可能被黑客獲取電話號碼：
　　當(dāng)用戶啟動 AirDrop 功能時，蘋果會將用戶電話號碼、電子郵箱以加密形式傳播到其 Wi-Fi 和藍(lán)牙范圍內(nèi)，以檢測附近可連接設(shè)備。如果用戶與另一設(shè)備通過 AirDrop 匹配成功，雙方將會交換電話和電子郵件信息的完整的加密散列（SHA-256 散列）。
　　這種加密散列雖然不會直接將個人信息公布出來，但黑客可以通過對加密散列進(jìn)行計(jì)算，從而竊取用戶個人信息。黑客可以在筆記本電腦上放置一份預(yù)先編譯的電話號碼散列清單，然后坐在公共場所附近，嘗試建立 AirDrop 連接，被動或主動收集附近 iPhone 信息。
　　而電子郵件因沒有預(yù)設(shè)長度，并且可以同時包含字母或數(shù)字，破解難度比電話號碼高。但黑客也可以利用過去 20 年數(shù)據(jù)庫漏洞中出現(xiàn)的數(shù)十億個電子郵箱地址進(jìn)行破解。
　　2.可能遭遇主動或被動攻擊：
　　當(dāng)黑客能夠掌握蘋果用戶的個人信息后，這些信息可能被濫用與詐騙、釣魚攻擊或信息售賣等。
　　一種是最簡單、最強(qiáng)大的被動攻擊。攻擊者只需要監(jiān)控附近開啟隔空投送的用戶，就可以獲得其電話號碼、電子郵箱，而無需提前預(yù)知任何信息。
　　另一種是主動攻擊。攻擊者可以打開隔空投送，查看附近設(shè)備是否響應(yīng)自己的連接請求。這種方式不如被動攻擊強(qiáng)大，因?yàn)橹挥挟?dāng)攻擊者的電話號碼或電子郵箱已經(jīng)在接收者的通訊錄中時，才能發(fā)揮作用。
　　尤其需要注意的情況是，當(dāng)攻擊者是熟人時，這種有目的的攻擊將非常有效。
　　蘋果官方已知曉該問題的存在：
　　達(dá)姆施塔特技術(shù)大學(xué)研究人員表明，他們在 2019 年 5 月曾告知蘋果他們發(fā)現(xiàn)的 AirDrop 漏洞。一年半后，他們向蘋果贈送了重新設(shè)計(jì)的 AirDrop：“PrivateDrop”。該新設(shè)計(jì)使用私有集交叉點(diǎn)加密技術(shù)，允許雙方在不展示加密散列的情況下發(fā)現(xiàn)聯(lián)系人。PrivateDrop 目前可以在開源社區(qū) GitHub 上公開獲得。
　　但截至目前，蘋果尚未說明它是否計(jì)劃采用 PrivateDrop 或用其他方式修復(fù)漏洞問題。也就是當(dāng)前每當(dāng)有人打開隔空投送功能時，可能都會泄露電話號碼和電子郵箱。
　　目前防止泄露的唯一方法是在系統(tǒng)設(shè)置菜單中將“隔空投送”功能的選項(xiàng)設(shè)置為“接收關(guān)閉”。希望蘋果能盡快采取措施，保障用戶隱私安全。在蘋果徹底修復(fù)該問題之前，用戶需要盡可能避免在公共場所使用 AirDrop。

整理發(fā)布：愛鋒貝二手手機(jī)優(yōu)品交易平臺來源：網(wǎng)絡(luò)轉(zhuǎn)載

歡迎光臨愛鋒貝 (http://7gfy2te7.cn/)