iPhone 用戶需注意：AirDrop 存在安全漏洞，可能泄露電話號(hào)碼

新……起點(diǎn)

　　隔空投送（AirDrop）是蘋果推出的一項(xiàng)無線傳輸功能，用戶可以利用該功能在不同的蘋果設(shè)備之間快速傳輸照片、文件等。然而，達(dá)姆施塔特工業(yè)大學(xué)的研究人員最近發(fā)現(xiàn)，該功能用于查找和驗(yàn)證某人的過程可能會(huì)暴露用戶的聯(lián)系人信息，可能將用戶 Apple 賬號(hào)綁定的電話號(hào)碼和電子郵箱泄露給附近的蘋果設(shè)備。

登錄/注冊(cè)后可看大圖

　　蘋果隔空投送有三種模式：關(guān)閉、僅聯(lián)系人、所有人，系統(tǒng)默認(rèn)選擇為僅聯(lián)系人。研究人員表示，隔空投送使用相互認(rèn)證機(jī)制，該機(jī)制將用戶的電話號(hào)碼和電子郵件與其他用戶的地址簿中的條目進(jìn)行比較，而在此過程中，陌生人就可以破解驗(yàn)證的數(shù)據(jù)，從而拿到用戶的電話號(hào)碼和電子郵件。
　　具體影響有如下兩個(gè)方面：
　　1.可能被黑客獲取電話號(hào)碼：
　　當(dāng)用戶啟動(dòng) AirDrop 功能時(shí)，蘋果會(huì)將用戶電話號(hào)碼、電子郵箱以加密形式傳播到其 Wi-Fi 和藍(lán)牙范圍內(nèi)，以檢測(cè)附近可連接設(shè)備。如果用戶與另一設(shè)備通過 AirDrop 匹配成功，雙方將會(huì)交換電話和電子郵件信息的完整的加密散列（SHA-256 散列）。
　　這種加密散列雖然不會(huì)直接將個(gè)人信息公布出來，但黑客可以通過對(duì)加密散列進(jìn)行計(jì)算，從而竊取用戶個(gè)人信息。黑客可以在筆記本電腦上放置一份預(yù)先編譯的電話號(hào)碼散列清單，然后坐在公共場(chǎng)所附近，嘗試建立 AirDrop 連接，被動(dòng)或主動(dòng)收集附近 iPhone 信息。
　　而電子郵件因沒有預(yù)設(shè)長(zhǎng)度，并且可以同時(shí)包含字母或數(shù)字，破解難度比電話號(hào)碼高。但黑客也可以利用過去 20 年數(shù)據(jù)庫(kù)漏洞中出現(xiàn)的數(shù)十億個(gè)電子郵箱地址進(jìn)行破解。
　　2.可能遭遇主動(dòng)或被動(dòng)攻擊：
　　當(dāng)黑客能夠掌握蘋果用戶的個(gè)人信息后，這些信息可能被濫用與詐騙、釣魚攻擊或信息售賣等。
　　一種是最簡(jiǎn)單、最強(qiáng)大的被動(dòng)攻擊。攻擊者只需要監(jiān)控附近開啟隔空投送的用戶，就可以獲得其電話號(hào)碼、電子郵箱，而無需提前預(yù)知任何信息。
　　另一種是主動(dòng)攻擊。攻擊者可以打開隔空投送，查看附近設(shè)備是否響應(yīng)自己的連接請(qǐng)求。這種方式不如被動(dòng)攻擊強(qiáng)大，因?yàn)橹挥挟?dāng)攻擊者的電話號(hào)碼或電子郵箱已經(jīng)在接收者的通訊錄中時(shí)，才能發(fā)揮作用。
　　尤其需要注意的情況是，當(dāng)攻擊者是熟人時(shí)，這種有目的的攻擊將非常有效。
　　蘋果官方已知曉該問題的存在：
　　達(dá)姆施塔特技術(shù)大學(xué)研究人員表明，他們?cè)?2019 年 5 月曾告知蘋果他們發(fā)現(xiàn)的 AirDrop 漏洞。一年半后，他們向蘋果贈(zèng)送了重新設(shè)計(jì)的 AirDrop：“PrivateDrop”。該新設(shè)計(jì)使用私有集交叉點(diǎn)加密技術(shù)，允許雙方在不展示加密散列的情況下發(fā)現(xiàn)聯(lián)系人。PrivateDrop 目前可以在開源社區(qū) GitHub 上公開獲得。
　　但截至目前，蘋果尚未說明它是否計(jì)劃采用 PrivateDrop 或用其他方式修復(fù)漏洞問題。也就是當(dāng)前每當(dāng)有人打開隔空投送功能時(shí)，可能都會(huì)泄露電話號(hào)碼和電子郵箱。
　　目前防止泄露的唯一方法是在系統(tǒng)設(shè)置菜單中將“隔空投送”功能的選項(xiàng)設(shè)置為“接收關(guān)閉”。希望蘋果能盡快采取措施，保障用戶隱私安全。在蘋果徹底修復(fù)該問題之前，用戶需要盡可能避免在公共場(chǎng)所使用 AirDrop。

整理發(fā)布：愛鋒貝 二手手機(jī)優(yōu)品交易平臺(tái) 來源：網(wǎng)絡(luò)轉(zhuǎn)載