侵权投诉
订阅
纠错
加入自媒体

苹果有漏洞!AirDrop或许会泄露你的电话号码

2021-05-05 11:02
我的极刻
关注

AirDrop,中文名隔空投送,一个苹果用户们都知道的好东西,它能在iOS、iPadOS、macOS多平台之间传输并分享文件,相比传统的传输方式要方便得多,前提是发送和接受双方都必须是苹果设备。

AirDrop,著名的交友撩妹软件,你是否在乘坐地铁时,突然收到一位陌生人AirDrop给你的表情包,上面赫然写着“交出你的微信”,你同时也回了个表情包,上面写着“深井冰啊”终结了这个话题。

不过,AirDrop在兼顾实用和好玩的同时,近期有研究表明“肆意”使用AirDrop可能会导致的你的手机号码泄漏,如果在公共场合遇到以上场景的话,可能下一次撩你就是通过拨打你的电话号码了。

黑客是如何通过AirDrop窃取你的联系方式的?

“AirDrop那么好用,你萌怎么可以污蔑它!”刚开始小黑看到研究报告的时候还不相信,想着以苹果历来重视用户安全的调性,以及近期通过推送iOS 14.5正式版来提升用户使用App的安全性来看,苹果没有理由在最常用的AirDrop上“翻车”啊?但事与愿违,事情就是这么发生了。

近期,来自TU Darmstadt安全移动网络实验室(SEEMOO)和密码学与隐私工程组(ENCRYPTO)的一组研究人员对AirDrop进行了深入研究,结论是如果AirDrop使用不当可能会带来严重的隐私泄露,并披露了AirDrop是如何通过漏洞来获取用户电话号码的原理。

研究指出,这与SHA-256加密散列有很大的关系,用户在使用AirDrop的过程中,苹果会将用户的电话号码、电子邮箱以上面这种加密方式,通过Wi-Fi和蓝牙进行传播,当你与另一台设备通过AirDrop连接成功后,完整的SHA-256加密散列就交换成功了。

但正是在信息的交换过程中,带有电话号码隐私加密散列就可能会被泄漏,黑客通过多种手段窃取到用户信息,你的电话号码就这样被泄漏出去了。


那么黑客是如何利用SHA-256加密散列窃取到你的电话号码的呢?首先因为电话号码的格式较为固定,这让电脑能够快速在数据库中找到所有有关你电话号码的加密散列,这为黑客提供了极大的便利。因此,黑客需要做的只是在笔记本电脑中预设好电话号码的散列名单,然后在公共场合掏出笔记本电脑,搜集附近苹果设备的信息,一旦你进行AirDrop的操作,那么很有可能你的电话号码就被传输到了黑客的电脑上。


当然,通过AirDrop破解手机号码的难易程度是分情况的,如果是一位技术过硬的黑客,他只需要利用漏洞监控附近开启AirDrop的用户,并通过一些特殊手段就能获取到用户的电话号码,而没有相关技术储备的普通人则很难做到。

不过,如果你的安全防范意识不高,直接接受了陌生人用AirDrop传输过来的东西,那么无疑为电话号码的泄漏创造了机会,在这种情况下,或许一位“实习黑客”也能获取到你的信息。

向来注重安全的苹果,却什么都没做!

在多方研究机构和研究人员都爆出AirDrop存在安全隐患的情况下,苹果到底做了什么?答案是什么都没做,这一漏洞早在19年5月份就被爆出,截至目前苹果依旧没有承认这一问题,这也代表着苹果还没有找到最优的解决方案,此举让全球十多亿苹果用户面临着尴尬的处境。那么究竟如何才能避免AirDrop泄漏电话号码的问题,完全关闭吗?

面对这样的境况,第三方研究机构似乎比苹果操的心更多,它们提供了名为“PrivateDrop”的方案,以替代原有苹果自带的的AirDrop方案。原理是通过全新的“私有集交叉点加密技术”,让用户在不展示加密散列的前提下也能发现对方,并传输文件。在实际体验中,无论是在iOS还是macOS下使用都能做到接近“原版AirDrop”的体验,认证和传输的延迟都远低于1秒。

目前“PrivateDrop”已上线开源社区GitHub,感兴趣的朋友可以下载来体验一下。

说到这里,小黑认为苹果官方存在的漏洞应该由官方自己来解决,第三方的解决方案一来对于不愿意折腾的苹果用户来说不是那么友好,同时也存在不确定性。

好用的AirDrop不再安全,让苹果用户很难受,因为在使用过程中总会担心出现安全问题,如果以上问题没有解决,则让AirDrop成为了一把双刃剑,而苹果用户不该承受这双刃剑其中一面的安全问题,希望苹果官方能够早日解决!

图源:谷歌、Pixabay、 9to5Mac


声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

    安防 猎头职位 更多
    文章纠错
    x
    *文字标题:
    *纠错内容:
    联系邮箱:
    *验 证 码:

    粤公网安备 44030502002758号