研究人员说苹果AirDrop泄露用户号码和电子邮件
苹果具有其他平台(尤其是Android)仍在尝试实现的令人羡慕的功能。AirDrop的简单便利性和假定的安全性就是其中之一,直到去年Android的Nearest Share终于流行起来。不幸的是,AirDrop似乎毕竟还不是那么安全,而在macOS或iOS中打开共享表的简单举动足以使用户的电话号码和电子邮件地址泄露给范围内的任何黑客。
尽管现在更为普遍,但AirDrop使用了一种曾经采用过的新颖技术,该技术同时使用了临时Wi-Fi和蓝牙来扫描设备并在它们之间建立连接。用户可以选择仅与他们的联系人或与任何拥有Mac或iPhone的人共享,或者根本不共享。不幸的是,安全研究人员发现的漏洞甚至不需要实际使用AirDrop触发个人信息泄露。
用户所需要做的就是启动共享过程,该过程将显示macOS或iOS共享表。在幕后,AirDrop实际上是通过广播包含发件人电话和电子邮件地址的加密数据包来开始扫描设备的。目的是检查附近的哪些设备也保存了发件人的联系人以符合接收者的条件。
不幸的是,这种加密显然没有那么强大,对于黑客来说,执行暴力攻击来解密数字和电子邮件地址几乎是微不足道的。更令人担忧的是,这样的黑客只需要坐在那里,等待拥有Mac,iPhone或iPad的任何人开始共享任何内容即可拦截数据。这些电话号码和电子邮件地址然后可以用于其他攻击,例如网络钓鱼诈骗。
据报道,研究人员于2019年向Apple披露了此漏洞,甚至提供了更安全替代方案的开源参考实现。Apple迄今尚未回复,修复其macOS和iOS体验中不可或缺的一部分可能不是那么简单。