Apple AirDrop 被爆安全漏洞，該漏洞會泄露用戶個人信息

專家在Apple的無線文件共享協議Apple AirDrop中發現了一個漏洞，該漏洞可能暴露用戶的聯系信息。

來自德國達姆施塔特技術大學的Boffins發現了蘋果無線文件共享協議Apple AirDrop中的一個隱私問題，該問題可能暴露用戶的聯系信息，例如電子郵件地址和電話號碼。

“來自達姆施塔特工業大學安全移動網絡實驗室（SEEMOO）和密碼學與隱私工程小組（ENCRYPTO）的研究人員仔細研究了這一機制，發現了嚴重的隱私泄漏。” 閱讀研究人員發表的帖子。“作為攻擊者，即使是完全陌生的人，也可以了解AirDrop用戶的電話號碼和電子郵件地址。他們所需要的只是具有Wi-Fi功能的設備以及與目標的物理距離，該目標通過在iOS或macOS設備上打開共享窗格來啟動發現過程。”*

AirDrop是Apple Inc.的iOS和macOS操作系統中的專有臨時服務，在Mac OS X Lion（Mac OS X 10.7）和iOS 7中引入，可以通過關閉方式在受支持的Macintosh計算機和iOS設備之間傳輸文件范圍的無線通信。

專家發現的漏洞可能會影響仍然易受攻擊的15億多蘋果設備的所有者。

該功能允許與通訊錄聯系人中的設備共享數據。AirDrop協議利用了相互身份驗證機制，該機制將用戶的電話號碼和電子郵件地址與另一用戶的通訊錄中的條目進行比較，以確定兩個用戶是否處于聯系狀態，

專家指出，即使不是直接聯系，攻擊者也可以了解AirDrop用戶的電話號碼和電子郵件地址。攻擊者需要具有支持Wi-Fi的設備，并且與目標物物理接近，以通過打開iOS或macOS設備上的共享窗格來啟動發現過程。

研究人員發現的漏洞使攻擊者可以了解附近AirDrop發送者和接收者的聯系人標識符（即電話號碼和電子郵件地址）。專家發現，漏洞源自發現過程中此類聯系人標識符的哈希值交換，攻擊者可以通過

“發現的問題根源于蘋果公司在搜索過程中使用哈希函數來“混淆”交換的電話號碼和電子郵件地址。但是，達姆施塔特工業大學的研究人員已經表明，哈希無法提供保護隱私的聯系人發現，因為可以使用蠻力攻擊等簡單技術快速逆轉所謂的哈希值。” 繼續該職位。*

研究人員于2019年5月向Apple秘密報告了他們的發現，然后他們開發了一種名為“ PrivateDrop”的解決方案來解決AirDrop中的錯誤，并于2020年10月向IT巨頭報告了該錯誤。

“我們開發了一個名為PrivateDrop的解決方案，以替換有漏洞的原始AirDrop設計。PrivateDrop基于優化的加密專用集交集協議，該協議可以安全地執行兩個用戶之間的聯系人發現過程，而無需交換易受攻擊的哈希值。” 說明研究人員。“我們在iOS / macOS上的PrivateDrop原型實現表明，我們的隱私友好型相互身份驗證方法足以保持AirDrop的模范用戶體驗，并且身份驗證延遲遠低于一秒鐘。可以在GitHub上公開獲得PrivateDrop的實現 。”