AirDrop 是 Apple 推出的一項無線傳輸功能,照片、文件等可在不同的 Apple 產品之間快速傳輸。不過近日有研究人員最近發現,AirDrop 用於查找和驗證某人的過程可暴露用家的聯繫人信息。據了解,個漏洞自 2019 年以來一直存在,但到目前為止,還沒有被修復。
AirDrop 雖然自身帶有安全驗證的功能,它使用了一種「相互身份驗證機制」來確認發送方和接收方是否在對方的聯繫人列表中,但只要在分享裝置範圍內不法分子就可以利用這一機制來獲取私人信息。Apple 以為在數據交換時使用加密就可以很好的防止洩露,但研究人員發現,通過「暴力破解等簡單技術」,數據很容易被破解。
研究人員在研究中說:「作為一名攻擊者,即使是一個完全陌生的人,也有可能知道 AirDrop 用家的電話號碼和電子郵件地址。他們所需要的只是一個能無線上網的裝置,並且在物理上接近目標,通過打開 iOS 或 macOS 設備上的共享窗格來啟動發現過程。」
之所以出現這個問題,主要根源在於 Apple 在發現過程中使用哈希函數「模糊」交換的電話號碼和電子郵件地址。這種散列法不能提供保護隱私,因為所謂的散列值可以通過簡單的技術(如暴力攻擊)迅速逆轉。
不過,該團隊還針對這個漏洞開發了一個名為「PrivateDrop」的解決方案,在 Apple 消除漏洞之前,它可以用來代替 AirDop。
如果你不想使用 PrivateDrop 來取代 AirDrop,為了你的隱私與文件,最好還是在不使用 AirDrop 時把設備中的 AirDrop 功能關閉,或者通過進入設置> 通用 > AirDrop ,然後選擇關閉接收;Mac 用家則可以上啟動 Finder > 點擊 AirDrop,然後將「允許我被發現」設置為「無人」。等到需要使用時才開啟,達到自我保護。
