苹果AirDrop功能隐藏漏洞极易被攻破，15亿用户面临安全风险！

苹果的AirDrop功能可让设备之间分享图片、视频和演示变得很容易，但一项新报告显示，这反而让用户与数字窃贼分享了更多信息。

德国达姆施塔特科技大学(Technische university at Darmstadt)的一个团队发现，黑客可以通过“仅限联系人”选项获取附近AirDrop用户的电话号码和电子邮件。

该选项使用一种“相互身份验证机制”来确认发送方和接收方是否在对方的联系人列表中，但苹果设备范围内的不法分子可以利用这一机制来获取私人信息。

尽管苹果在数据交换时使用加密，但德国研究人员发现，通过“暴力破解等简单技术”，数据很容易被破解。

然而，这个问题早在2019年就提交给了苹果公司，但苹果“既没有承认这个问题，也没有表示它们正在研究解决方案。”

研究人员称，这份报告显示，约15亿台苹果设备可能面临风险。

达姆施塔特工业大学的研究人员在研究中说:“作为一名攻击者，即使是一个完全陌生的人，也有可能知道AirDrop用户的电话号码和电子邮件地址。”

“他们所需要的只是一个能无线上网的设备，并且在物理上接近目标，通过打开iOS或macOS设备上的共享窗格来启动发现过程。”

这个问题的根源在于苹果在发现过程中使用哈希函数“模糊”交换的电话号码和电子邮件地址。

不过，该团队还针对这个漏洞开发了一个名为“PrivateDrop”的解决方案，在苹果消除漏洞之前，它可以用来代替AirDop。

研究人员解释说:“PrivateDrop基于优化的加密私有集交集协议，可以安全地在两个用户之间执行联系人发现过程，而不交换易受攻击的散列值。”

研究人员对PrivateDrop的iOS/macOS实现表明，它在认证延迟远低于1秒的情况下，足够有效地保持AirDrop的优秀用户体验。”

苹果很少宣布其系统存在可能被坏人用于恶意活动的问题，但今年1月发现了3个“可能被黑客积极利用”的安全漏洞时，苹果敲响了警钟。

在苹果支持页面上发布了一份声明，表明在Safari的浏览器引擎Webkit中发现了2个漏洞，还有1个在核心操作系统Kernel中。

内核漏洞被描述为一种“竞争条件”，可以让恶意应用程序提高权限，但该更新通过“改进的锁定”修复了它。

不过，苹果公司很快发布了iOS 14.4修复了这些漏洞。

前瞻经济学人APP资讯组