AirDrop中的安全漏洞可以泄露您的電話號(hào)碼

與Apple產(chǎn)品相關(guān)的安全漏洞可能不如其他設(shè)備那么多，但確實(shí)存在。以最新的發(fā)現(xiàn)為例，這次是連接到AirDrop的。Ars Technica在周四發(fā)布了初始報(bào)告，概述了研究人員對(duì)無(wú)線共享功能的發(fā)現(xiàn)。根據(jù)調(diào)查結(jié)果，AirDrop中的安全漏洞使擁有筆記本電腦和掃描軟件的任何人都可以確定共享設(shè)備的電話號(hào)碼。

當(dāng)用于Mac時(shí)?然后，硬件可以通過(guò)安全漏洞共享該設(shè)備的MAC地址。

Hexway的報(bào)告包括用于演示信息廣播的概念驗(yàn)證軟件。勘誤安全首席執(zhí)行官Rob Graham將概念驗(yàn)證安裝在配備了無(wú)線數(shù)據(jù)包嗅探器加密狗的筆記本電腦上，在一兩分鐘之內(nèi)，他捕獲了十幾個(gè)iPhone和Apple Watch的細(xì)節(jié)，這些iPhone和Apple Watch在他工作的酒吧。

不幸的是，研究人員說(shuō)，這是一個(gè)非常常見(jiàn)的安全漏洞，隨著公司試圖在易用性和安全性/隱私性之間找到平衡，這是一個(gè)非常普遍的安全漏洞：

獨(dú)立的隱私和安全研究人員Ashkan Soltani告訴Ars，這是蘋(píng)果公司在平衡易用性與隱私/安全性之間試圖做出的經(jīng)典權(quán)衡。ldquo;總的來(lái)說(shuō)，自動(dòng)發(fā)現(xiàn)協(xié)議通常需要交換個(gè)人信息，以使它們正常工作，從而可以揭示可能被視為敏感的信息。我認(rèn)識(shí)的大多數(shù)出于安全和隱私意識(shí)的人都出于原則禁用了AirDrop等自動(dòng)發(fā)現(xiàn)協(xié)議。

至于利用安全漏洞，事實(shí)證明這很簡(jiǎn)單，即使蘋(píng)果試圖消除這種危險(xiǎn)：

如果有人使用AirDrop共享文件或圖像，他們將廣播其電話號(hào)碼的部分SHA256哈希。如果正在使用Wi-Fi密碼共享，則設(shè)備將發(fā)送其電話號(hào)碼，用戶的電子郵件地址和用戶的Apple ID的部分SHA256哈希。雖然僅散列的前三個(gè)字節(jié)被廣播，但安全公司Hexway(已發(fā)表研究)的研究人員說(shuō)，這些字節(jié)提供了足夠的信息來(lái)恢復(fù)完整的電話號(hào)碼。

密碼共享功能可能導(dǎo)致相同的結(jié)果：

您只需要從列表中選擇一個(gè)網(wǎng)絡(luò)，您的設(shè)備就會(huì)開(kāi)始向其他設(shè)備發(fā)送Bluetooth LE請(qǐng)求，要求他們提供密碼。您的朋友怎么知道請(qǐng)求密碼的人是您?寬帶BLE請(qǐng)求包含您的數(shù)據(jù)，即電話號(hào)碼，AppleID和電子郵件的SHA256哈希。僅發(fā)送哈希的前3個(gè)字節(jié)，但這足以標(biāo)識(shí)您的電話號(hào)碼(實(shí)際上，該號(hào)碼是從提供電話號(hào)碼狀態(tài)和地區(qū)的HLR請(qǐng)求中恢復(fù)的)。