苹果公司在被中国安全研究人员破解之前就被警告AirDrop存在缺陷
上一篇 /
下一篇 2024-01-11 10:46:40
中国司法机构声称已经破解了
AirDrop,从而获得了用这种方式在公共场合发送信息的 iPhone 用户的详细资料,这得到了多年来一直向
苹果公司发出警告的安全研究人员的支持。一家政府支持的研究所宣布,它可以在使用 iPhone 日志来识别通过 AirDrop 发送和接收内容的用户。虽然没有详细说明过程,但安全研究人员认为 AirDrop 不安全,而且苹果公司已多次被告知存在问题。
尽管
测试人员只能通过访问通过 AirDrop 接收文件的 Mac 上的控制台日志来获取发送 iPhone 的名称和蓝牙信号强度,但通过设备日志可以找到发送者详细信息的说法得到了证实。名称和信号强度存储在 AirDrop 子进程中,而该子进程是整个"sharingd"进程的一部分。
该 AirDrop 子进程似乎包含发送 iPhone 的电子邮件和电话号码,但它们是以哈希值存储的,测试人员无法将其翻译成纯文本。
假设位于中国北京的这家研究机构就是这样利用 AirDrop 来识别所谓的"嫌疑人",那么还有一个因素意味着苹果的这项功能是不安全的。不仅如此,安全研究员亚历山大-海因里希(Alexander Heinrich)也发现了"查找我的"(Find My)的问题。
虽然 Apple ID 的电子邮件和电话号码也是以哈希值的形式存储的,但据说很容易破译。海因里希的发现只在 AirDrop 实际使用时有效。中国的方法在接收 iPhone 上发现了一个日志,这表明在搜查 iPhone 之前必须先没收它。
海因里希说他不仅已经报告了这个
漏洞。但苹果公司本身随后在开发 iOS 16 时也对研究人员提出了质疑。虽然苹果已经演示了一个更安全的 AirDrop 版本,但它将与旧的 iOS 版本不兼容,因此尚未实施。
另外,苹果刚刚获得了一项 AirDrop 专利。它将使用光来代替 Wi-Fi 和蓝牙,因此速度更快、更安全。
相关阅读:
- 苹果曝出严重安全漏洞!黑客可全面控制设备? (liqianqian1116, 2022-8-22)
- 推特前安全主管控诉存在 "令人震惊"的安全漏洞 (liqianqian1116, 2022-8-25)
- 现代汽车曝重大安全漏洞,黑客可远程解锁、启动汽车 (liqianqian1116, 2022-12-05)
- 三菱电机 PLC 曝出多个严重安全漏洞 (liqianqian1116, 2022-12-06)
- IBM 云数据库 PostgreSQL 出现安全漏洞 (liqianqian1116, 2022-12-06)
- Google Pixel手机照片编辑工具被曝安全漏洞 (liqianqian1116, 2023-3-22)
- 技嘉曝“类后门”安全漏洞,影响约 700 万台设备 (liqianqian1116, 2023-6-02)
- 大众汽车车载娱乐系统曝安全漏洞,可被远程控制 (liqianqian1116, 2023-6-29)
- Nagios XI 网络监控软件曝出多个安全漏洞 (liqianqian1116, 2023-9-22)
- 微软在Perforce Helix核心服务器中发现4个安全漏洞 (liqianqian1116, 2023-12-20)
收藏
举报
TAG:
安全漏洞
AirDrop