首页保安Apple AirDrop:错误可能导致用户数据泄漏!

Apple AirDrop:错误可能导致用户数据泄漏!

研究人员来自 达姆施塔特技术大学(TU) 的德国发现了文件共享协议中的错误 空投 苹果公司-允许Mac和iPhone用户在设备之间无线传输文件-苹果公司可以公开用户联系信息,例如电子邮件地址和电话号码。

具体而言,相关出版物指出以下内容: “来自达姆施塔特工业大学安全移动网络实验室(SEEMOO)和密码学与隐私工程小组(ENCRYPTO)的一组研究人员仔细研究了这种机制,发现了一个严重的隐私问题。 作为入侵者,可以了解AirDrop用户的电话号码和电子邮件地址-甚至可以作为一个完整的“陌生人”。 您所需要的只是一个支持Wi-Fi的设备,并且与目标之间的物理邻近性通过打开iOS或macOS设备上的共享窗格来启动发现过程。

阅读: 陌生人如何无法向您发送文件

Apple AirDrop错误
Apple AirDrop:错误可能导致用户数据泄漏!

AirDrop是针对Apple iOS和macOS操作系统的专有临时服务 Mac OS X Lion(Mac OS X 10.7)和 iOS的7 并且可以通过近距离无线通信在支持的Macintosh计算机和iOS设备之间传输文件。

研究人员发现的错误可能会影响超过1,5亿个仍易受攻击的Apple设备的所有者.

另请参阅: Google附近共享:新的AirDrop文件传输功能

该功能允许通过通讯录联系人与设备共享数据。 AirDrop协议使用一种 相互认证机制 比较一个用户的电话号码和电子邮件地址与另一用户的地址簿条目,以确定两个用户是否保持联系。

Apple AirDrop错误
Apple AirDrop:错误可能导致用户数据泄漏!

专家还指出,即使不是直接联系,攻击者也可以找出AirDrop用户的电话号码和电子邮件地址。 研究人员检测到的错误可使攻击者了解附近的AirDrop发送者和接收者的联系方式(电话号码和电子邮件地址)。 专家还发现,该错误来自发现过程中此类标识符的哈希值交换,入侵者可以利用蛮力或字典攻击轻易地将其逆转。

建议:REvil: 现在它威胁要泄漏新的Apple徽标和iPad的设计!

研究人员向苹果私下报告了他们的发现 2019的五月 然后开发了一个名为 私人掉落 修复AirDrop中的错误并将其报告给科技巨头 十月的2020.

“我们已经开发了一种称为'PrivateDrop'的解决方案,以替换错误的原始AirDrop设计。 iOS / macOS上原始的PrivateDrop应用程序显示,隐私友好的相互身份验证方法足以有效地维持典型的AirDrop用户体验,而身份验证延迟不到一秒钟。 PrivateDrop应用程序可在GitHub上公开获得。”

信息来源:securityaffairs.co

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻