Apple AirDrop 被爆安全漏洞,该漏洞会泄露用户个人信息

sugar 2021-04-27
专栏 - 资讯 发布于 2021-04-27 09:26:38 阅读 756 评论 0

专家在Apple的无线文件共享协议Apple AirDrop中发现了一个漏洞,该漏洞可能暴露用户的联系信息。

来自德国达姆施塔特技术大学的Boffins发现了苹果无线文件共享协议Apple AirDrop中的一个隐私问题,该问题可能暴露用户的联系信息,例如电子邮件地址和电话号码。

“来自达姆施塔特工业大学安全移动网络实验室(SEEMOO)和密码学与隐私工程小组(ENCRYPTO)的研究人员仔细研究了这一机制,发现了严重的隐私泄漏。” 阅读研究人员发表的帖子。“作为攻击者,即使是完全陌生的人,也可以了解AirDrop用户的电话号码和电子邮件地址。他们所需要的只是具有Wi-Fi功能的设备以及与目标的物理距离,该目标通过在iOS或macOS设备上打开共享窗格来启动发现过程。”*

AirDrop是Apple Inc.的iOS和macOS操作系统中的专有临时服务,在Mac OS X Lion(Mac OS X 10.7)和iOS 7中引入,可以通过关闭方式在受支持的Macintosh计算机和iOS设备之间传输文件范围的无线通信。

专家发现的漏洞可能会影响仍然易受攻击的15亿多苹果设备的所有者。

该功能允许与通讯录联系人中的设备共享数据。AirDrop协议利用了相互身份验证机制,该机制将用户的电话号码和电子邮件地址与另一用户的通讯录中的条目进行比较,以确定两个用户是否处于联系状态,

专家指出,即使不是直接联系,攻击者也可以了解AirDrop用户的电话号码和电子邮件地址。攻击者需要具有支持Wi-Fi的设备,并且与目标物物理接近,以通过打开iOS或macOS设备上的共享窗格来启动发现过程。

研究人员发现的漏洞使攻击者可以了解附近AirDrop发送者和接收者的联系人标识符(即电话号码和电子邮件地址)。专家发现,漏洞源自发现过程中此类联系人标识符的哈希值交换,攻击者可以通过

“发现的问题根源于苹果公司在搜索过程中使用哈希函数来“混淆”交换的电话号码和电子邮件地址。但是,达姆施塔特工业大学的研究人员已经表明,哈希无法提供保护隐私的联系人发现,因为可以使用蛮力攻击等简单技术快速逆转所谓的哈希值。” 继续该职位。*

研究人员于2019年5月向Apple秘密报告了他们的发现,然后他们开发了一种名为“ PrivateDrop”的解决方案来解决AirDrop中的错误,并于2020年10月向IT巨头报告了该错误。

“我们开发了一个名为PrivateDrop的解决方案,以替换有漏洞的原始AirDrop设计。PrivateDrop基于优化的加密专用集交集协议,该协议可以安全地执行两个用户之间的联系人发现过程,而无需交换易受攻击的哈希值。” 说明研究人员。“我们在iOS / macOS上的PrivateDrop原型实现表明,我们的隐私友好型相互身份验证方法足以保持AirDrop的模范用户体验,并且身份验证延迟远低于一秒钟。可以在GitHub上公开获得PrivateDrop的实现 。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!