安全研究人员 德国 已经推出了 新闻稿 关于将在 优思尼克斯 2021年,他们公布了调查结果,证明“Apple AirDrop 共享的不仅仅是文件”。他们表示:“我们发现 Apple 的文件共享服务存在严重的隐私泄露。” 本文将总结这些泄露事件,以便您判断其严重程度是否足以停止使用该服务。对于 CyberHoot 员工,我们认为以下保护措施可以让我们继续使用它。
对于没有 iPhone 或 Mac 的用户来说,AirDrop 是一种低延迟、加密、高速的 Wi-Fi 点对点连接,Apple 用户用它来共享文件或照片。这款工具被称为 AWDL,即 Apple Wireless Direct Link。AWDL 主要通过 Airdrop 使用,但也可以通过 Airplay 将音乐流式传输到 Apple TV,或将 iPad 用作辅助显示器,三轮“。
据研究人员称,问题出在 AirDrop 的 仅限联系人 模式,您可以设置 AirDrop 不接受任何人的连接,而只接受您联系人列表中已有用户的连接。请查看下图,了解 AirDrop 的可用设置:
请注意,如果你将 AirDrop 设置为 大家, 这并不意味着每个人都可以在你不知情的情况下访问你的手机。你会收到一个弹出窗口,请求下载文件的权限,而发送者无法绕过。 大家 设置是,如果有人试图向您发送文件,弹出窗口会包含他们想要发送的文件的小缩略图,因此您可以确保它不仅是您信任的发件人,而且也是您想要在设备上显示的内容。
这意味着你可以轻松地 蓝劫,指的是某人向你发送 未经请求的图片 你被迫去看它,以便决定是否想去看它。
话虽如此, 只有联系 似乎是更好的选择。不过,达姆施塔特的研究人员发现,AirDrop 连接的两端会通过交换网络信息来决定是否将对方视为联系人。 包 这些措施未能妥善保护联系人数据的隐私。苹果只是忘记对用于相互识别的加密哈希值进行加盐处理,从而导致逆向工程漏洞,从而可以从目标手机中获取电话号码和电子邮件地址。
研究人员声称,接触 identifiers基于电话号码和电子邮件地址,以 SHA-256 格式进行交换 密码散列 保护原始数据。每一端都将自己的联系数据转换成 哈希 并将这些数据与对方发送的数据进行比较,而不是共享和比较原始的电话号码和电子邮件地址;这意味着他们不必提前透露原始联系人数据来查看他们有哪些共同的联系人。
不幸的是,交换的哈希只是直哈希,没有 密码加盐 涉及。这意味着如果 黑客 预先计算了所有可能的电话号码的哈希值列表,他们就可以在哈希列表中查找这些号码,并通过纯粹的“逆转”加密 蛮力.
黑客很难通过您的 AWDL 攻击您的设备,但这并不意味着这种情况不会发生。CyberHoot 建议采取以下措施来降低受害的可能性:
无需一直让其他 AirDrop 用户发现。
如果你在一个私人场所,并且有一个你信任的发件人,那么可能没问题,但如果你在繁忙的咖啡店或购物中心,请记住 大家 模式让你向周围的所有人敞开心扉。
在体育场、购物中心等人群密集的地方,使用 AirDrop 很容易连接到错误的手机。当你在这些地方遇到老朋友并想分享几张照片时,请克制住盲目连接的冲动。检查姓名并谨慎操作。
在MyCAD中点击 软件更新 个人设置 > 综合 > .
之前的漏洞利用需要启用蓝牙才能实现真正的零点击攻击。不使用蓝牙时请关闭蓝牙。
进行额外的错误和缺陷检查永远不是一个坏主意。
用户常常误以为 Apple 产品安全无病毒,而且从未被利用。务必意识到所有设备都存在漏洞,并遵循上述建议,在不使用时关闭设备。阅读 CyberHoot 的Mac 中的恶意软件' 文章来了解有关 Mac 漏洞的更多信息。
来源:
延伸阅读:
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
