蘋果AirDrop和Wi-Fi密碼共享功能潛藏個人信息外泄威脅

近日安全人員Hexway稱，蘋果iPhone、Mac和其它蘋果設備之間的無線分享功能如AirDrop和Wi-Fi密碼共享功能存在被利用外泄個人信息的威脅，儘管這些功能並不直接發送個人隱私相關的任何信息，但安全人員指出利用這些無線信息，某些人員可以追蹤到機主號碼，或者發動更加嚴重的信息安全攻擊。

Hexway稱，蘋果設備之間的AirDrop和Wi-Fi密碼共享功能廣播了一個特定的加密Hash（SHA256），包含了iPhone的手機號碼或者Mac電腦的靜態MAC地址，數據包通過BLE協議發送，包含了名字、操作系統版本、電池狀態以及Wi-Fi開啟情況等信息。這通常是無害的，但是對於不法分子來說，其可以被利用追蹤到機主的手機號碼，發動更加嚴重的攻擊。

Hexway 嘗試利用AirDrop的機制獲取某人的手機號碼，並且向目標發送一條簡訊。攻擊者還可以藉此發送自己定製的BLE請求，將其偽裝成AirPods等設備，強制讓目標硬體分享Wi-Fi密碼。

這一安全問題適用於所有高於iOS 10.3.1版本的iOS設備，較早的機型iPhone 6s則只發送一些限定的號碼信息，而不是持續的信息流。唯一可以完全阻止這一威脅的方式是完全關閉藍牙。

Hexway稱與其說這是安全漏洞，不如說是生態系統運作的特性利用，他建議用戶將AirDrop完全關閉，或者僅限定於聯繫人。

不過也不用過於擔心，這種攻擊的威脅性仍然較小。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！