|
|
一鍵注冊(cè)����,加入手機(jī)圈
您需要 登錄 才可以下載或查看,沒(méi)有帳號(hào)�?立即注冊(cè)  
x
隔空投送(AirDrop)是蘋(píng)果推出的一項(xiàng)無(wú)線傳輸功能,用戶(hù)可以利用該功能在不同的蘋(píng)果設(shè)備之間快速傳輸照片�����、文件等�。然而,達(dá)姆施塔特工業(yè)大學(xué)的研究人員最近發(fā)現(xiàn)�����,該功能用于查找和驗(yàn)證某人的過(guò)程可能會(huì)暴露用戶(hù)的聯(lián)系人信息,可能將用戶(hù) Apple 賬號(hào)綁定的電話號(hào)碼和電子郵箱泄露給附近的蘋(píng)果設(shè)備���。
DSC0000.jpg (173.99 KB, 下載次數(shù): 31)
下載附件
2021-4-26 09:45 上傳
蘋(píng)果隔空投送有三種模式:關(guān)閉����、僅聯(lián)系人���、所有人�,系統(tǒng)默認(rèn)選擇為僅聯(lián)系人����。研究人員表示����,隔空投送使用相互認(rèn)證機(jī)制,該機(jī)制將用戶(hù)的電話號(hào)碼和電子郵件與其他用戶(hù)的地址簿中的條目進(jìn)行比較�����,而在此過(guò)程中�,陌生人就可以破解驗(yàn)證的數(shù)據(jù)���,從而拿到用戶(hù)的電話號(hào)碼和電子郵件。
具體影響有如下兩個(gè)方面:
1.可能被黑客獲取電話號(hào)碼:
當(dāng)用戶(hù)啟動(dòng) AirDrop 功能時(shí)����,蘋(píng)果會(huì)將用戶(hù)電話號(hào)碼、電子郵箱以加密形式傳播到其 Wi-Fi 和藍(lán)牙范圍內(nèi)���,以檢測(cè)附近可連接設(shè)備����。如果用戶(hù)與另一設(shè)備通過(guò) AirDrop 匹配成功����,雙方將會(huì)交換電話和電子郵件信息的完整的加密散列(SHA-256 散列)。
這種加密散列雖然不會(huì)直接將個(gè)人信息公布出來(lái)����,但黑客可以通過(guò)對(duì)加密散列進(jìn)行計(jì)算,從而竊取用戶(hù)個(gè)人信息���。黑客可以在筆記本電腦上放置一份預(yù)先編譯的電話號(hào)碼散列清單��,然后坐在公共場(chǎng)所附近���,嘗試建立 AirDrop 連接��,被動(dòng)或主動(dòng)收集附近 iPhone 信息��。
而電子郵件因沒(méi)有預(yù)設(shè)長(zhǎng)度����,并且可以同時(shí)包含字母或數(shù)字�,破解難度比電話號(hào)碼高。但黑客也可以利用過(guò)去 20 年數(shù)據(jù)庫(kù)漏洞中出現(xiàn)的數(shù)十億個(gè)電子郵箱地址進(jìn)行破解�。
2.可能遭遇主動(dòng)或被動(dòng)攻擊:
當(dāng)黑客能夠掌握蘋(píng)果用戶(hù)的個(gè)人信息后,這些信息可能被濫用與詐騙�、釣魚(yú)攻擊或信息售賣(mài)等。
一種是最簡(jiǎn)單�、最強(qiáng)大的被動(dòng)攻擊。攻擊者只需要監(jiān)控附近開(kāi)啟隔空投送的用戶(hù)�����,就可以獲得其電話號(hào)碼���、電子郵箱,而無(wú)需提前預(yù)知任何信息。
另一種是主動(dòng)攻擊����。攻擊者可以打開(kāi)隔空投送,查看附近設(shè)備是否響應(yīng)自己的連接請(qǐng)求����。這種方式不如被動(dòng)攻擊強(qiáng)大,因?yàn)橹挥挟?dāng)攻擊者的電話號(hào)碼或電子郵箱已經(jīng)在接收者的通訊錄中時(shí)��,才能發(fā)揮作用���。
尤其需要注意的情況是��,當(dāng)攻擊者是熟人時(shí)��,這種有目的的攻擊將非常有效��。
蘋(píng)果官方已知曉該問(wèn)題的存在:
達(dá)姆施塔特技術(shù)大學(xué)研究人員表明����,他們?cè)?2019 年 5 月曾告知蘋(píng)果他們發(fā)現(xiàn)的 AirDrop 漏洞�����。一年半后,他們向蘋(píng)果贈(zèng)送了重新設(shè)計(jì)的 AirDrop:“PrivateDrop”��。該新設(shè)計(jì)使用私有集交叉點(diǎn)加密技術(shù)���,允許雙方在不展示加密散列的情況下發(fā)現(xiàn)聯(lián)系人����。PrivateDrop 目前可以在開(kāi)源社區(qū) GitHub 上公開(kāi)獲得�。
但截至目前,蘋(píng)果尚未說(shuō)明它是否計(jì)劃采用 PrivateDrop 或用其他方式修復(fù)漏洞問(wèn)題��。也就是當(dāng)前每當(dāng)有人打開(kāi)隔空投送功能時(shí)����,可能都會(huì)泄露電話號(hào)碼和電子郵箱。
目前防止泄露的唯一方法是在系統(tǒng)設(shè)置菜單中將“隔空投送”功能的選項(xiàng)設(shè)置為“接收關(guān)閉”���。希望蘋(píng)果能盡快采取措施��,保障用戶(hù)隱私安全����。在蘋(píng)果徹底修復(fù)該問(wèn)題之前��,用戶(hù)需要盡可能避免在公共場(chǎng)所使用 AirDrop��。
整理發(fā)布:愛(ài)鋒貝 二手手機(jī)優(yōu)品交易平臺(tái) 來(lái)源:網(wǎng)絡(luò)轉(zhuǎn)載 |
|
發(fā)表于 2021-4-26 09:45:40
收藏
頂
靠
提升卡
置頂卡
禁言卡
解禁卡
變色卡
置頂卡
照妖鏡