苹果公司在被中国安全研究人员破解之前就被警告AirDrop存在缺陷

中国司法机构声称已经破解了AirDrop,从而获得了用这种方式在公共场合发送信息的iPhone用户的详细资料,这得到了多年来一直向苹果公司发出警告的安全研究人员的支持。一家政府支持的研究所宣布,它可以在使用iPhone日志来识别通过AirDrop发送和接收内容的用户。虽然没有详细说明过程,但安全研究人员认为AirDrop不安全,而且苹果公司已多次被告知存在问题。

尽管测试人员只能通过访问通过AirDrop接收文件的Mac上的控制台日志来获取发送iPhone的名称和蓝牙信号强度,但通过设备日志可以找到发送者详细信息的说法得到了证实。名称和信号强度存储在AirDrop子进程中,而该子进程是整个"sharingd"进程的一部分。

该AirDrop子进程似乎包含发送iPhone的电子邮件和电话号码,但它们是以哈希值存储的,测试人员无法将其翻译成纯文本。

假设位于中国北京的这家研究机构就是这样利用AirDrop来识别所谓的"嫌疑人",那么还有一个因素意味着苹果的这项功能是不安全的。不仅如此,安全研究员亚历山大-海因里希(Alexander Heinrich)也发现了"查找我的"(Find My)的问题。

虽然Apple ID的电子邮件和电话号码也是以哈希值的形式存储的,但据说很容易破译。海因里希的发现只在AirDrop实际使用时有效。中国的方法在接收iPhone上发现了一个日志,这表明在搜查iPhone之前必须先没收它。

海因里希说他不仅已经报告了这个漏洞。但苹果公司本身随后在开发iOS 16时也对研究人员提出了质疑。虽然苹果已经演示了一个更安全的AirDrop版本,但它将与旧的iOS版本不兼容,因此尚未实施。

另外,苹果刚刚获得了一项AirDrop专利。它将使用光来代替Wi-Fi和蓝牙,因此速度更快、更安全。

发表评论

评论已关闭。

相关文章