Apple的AirDrop是Apple用户在两台Apple设备之间共享内容时最受欢迎的功能之一。现在,在Apple的AirDrop功能中发现了一个漏洞,该漏洞可能会暴露Wi-Fi范围内用户的所有私人数据。由德国大学达姆施塔特理工大学的研究人员发现的漏洞表明,只需打开iOS或macOS共享面板可以向范围内的人公开个人信息。据报道,即使没有启动文件传输也可能发生这种情况,并且可能会暴露出巨大的风险。
根据《可信评论》的一份报告,该报告首先报告了此漏洞,它可能会将用户的电话号码和电子邮件地址暴露给Wi-Fi范围内的陌生人。该报告称,大学(Technische Universitat)的研究人员早在2019年就向Apple提出了这个问题,该公司尚未修复它。他们说,问题出在与苹果用户相关的电话号码和电子邮件地址的散列功能较弱。报告说:“所有陌生人需要做的就是在附近,以便进行监听。”
受信任的评论报告还引用了安全移动网络实验室(SEEMOO)和密码学和隐私工程小组(ENCRYPTO)的新闻稿,他说:“作为攻击者,可以了解AirDrop用户的电话号码和电子邮件地址–即使是一个完全陌生的人。他们所需要的只是一个具有Wi-Fi功能的设备,并与目标物理邻近,该目标通过在iOS或macOS设备上打开共享窗格来启动发现过程。”报告指出,问题出在苹果对哈希函数的使用上。但是,达姆施塔特工业大学的研究人员已经表明,哈希不能提供保护隐私的联系人发现,并且可以使用简单的技术将其值反转。
研究人员说,有15亿苹果用户受到此问题的影响,但苹果仍然没有意识到这一问题。进一步引述研究人员的话说,避免受此漏洞影响的唯一方法是停止使用AirDrop,至少要等到苹果发布修复程序之后再使用。