AirDrop中的安全漏洞可以泄露您的電話號碼

與Apple產(chǎn)品相關(guān)的安全漏洞可能不如其他設(shè)備那么多，但確實存在。以最新的發(fā)現(xiàn)為例，這次是連接到AirDrop的。Ars Technica在周四發(fā)布了初始報告，概述了研究人員對無線共享功能的發(fā)現(xiàn)。根據(jù)調(diào)查結(jié)果，AirDrop中的安全漏洞使擁有筆記本電腦和掃描軟件的任何人都可以確定共享設(shè)備的電話號碼。

當(dāng)用于Mac時?然后，硬件可以通過安全漏洞共享該設(shè)備的MAC地址。

Hexway的報告包括用于演示信息廣播的概念驗證軟件?？闭`安全首席執(zhí)行官Rob Graham將概念驗證安裝在配備了無線數(shù)據(jù)包嗅探器加密狗的筆記本電腦上，在一兩分鐘之內(nèi)，他捕獲了十幾個iPhone和Apple Watch的細節(jié)，這些iPhone和Apple Watch在他工作的酒吧。

不幸的是，研究人員說，這是一個非常常見的安全漏洞，隨著公司試圖在易用性和安全性/隱私性之間找到平衡，這是一個非常普遍的安全漏洞：

獨立的隱私和安全研究人員Ashkan Soltani告訴Ars，這是蘋果公司在平衡易用性與隱私/安全性之間試圖做出的經(jīng)典權(quán)衡。ldquo;總的來說，自動發(fā)現(xiàn)協(xié)議通常需要交換個人信息，以使它們正常工作，從而可以揭示可能被視為敏感的信息。我認識的大多數(shù)出于安全和隱私意識的人都出于原則禁用了AirDrop等自動發(fā)現(xiàn)協(xié)議。

至于利用安全漏洞，事實證明這很簡單，即使蘋果試圖消除這種危險：

如果有人使用AirDrop共享文件或圖像，他們將廣播其電話號碼的部分SHA256哈希。如果正在使用Wi-Fi密碼共享，則設(shè)備將發(fā)送其電話號碼，用戶的電子郵件地址和用戶的Apple ID的部分SHA256哈希。雖然僅散列的前三個字節(jié)被廣播，但安全公司Hexway(已發(fā)表研究)的研究人員說，這些字節(jié)提供了足夠的信息來恢復(fù)完整的電話號碼。

密碼共享功能可能導(dǎo)致相同的結(jié)果：

您只需要從列表中選擇一個網(wǎng)絡(luò)，您的設(shè)備就會開始向其他設(shè)備發(fā)送Bluetooth LE請求，要求他們提供密碼。您的朋友怎么知道請求密碼的人是您?寬帶BLE請求包含您的數(shù)據(jù)，即電話號碼，AppleID和電子郵件的SHA256哈希。僅發(fā)送哈希的前3個字節(jié)，但這足以標(biāo)識您的電話號碼(實際上，該號碼是從提供電話號碼狀態(tài)和地區(qū)的HLR請求中恢復(fù)的)。