51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3987|回复: 0
打印 上一主题 下一主题

[转贴] 苹果AirDrop个人信息泄露漏洞影响15亿苹果设备

[复制链接]
  • TA的每日心情
    无聊
    3 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2021-4-29 13:32:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
     AirDrop
      AirDrop是苹果公司iOS、iPadOS和macOS系统下特有的功能,用于在多台设备之间分享文件,只要将文件拖动到使用AirDrop功能的好友的头像上,就能进行一对一的文件传输(类似于无线网络传输)。但德国Technical University of Darmstadt研究人员在苹果无线文件共享协议AirDrop 中发现了一个安全漏洞,该漏洞可能会导致用户邮件地址、手机号码等联系人信息泄露。
      AirDrop默认只显示联系人中的接收者设备。为了确定对方是否联系人,AirDrop会使用一个多方认证机制来对用户的手机号码和邮箱地址与其他用户地址簿中的记录对比。

      研究人员发现该机制中存在严重的隐私泄露安全漏洞。漏洞的根源在于该机制的发现过程中用于混淆交换的手机号码和邮箱地址的哈希函数。研究人员分析发现该哈希函数并没有提供足够隐私保护的联系人发现功能,因为哈希值可以通过暴力破解等方式快速逆向。
      因此攻击者可能可以获取附近AirDrop 用户的手机号码和邮箱地址。攻击者唯一需要做的就是启用WiFi并与目标保持相对较近的距离,并打开iOS或macOS 设备的共享页面以模拟(设备)发现这一过程。
      PrivateDrop
      PrivateDrop是一种基于优化的加密隐私集交互协议,可以在不交换有漏洞的哈希值的情况下安全地执行两个用户之间的联系人发现。研究人员在iOS和macOS的实现表明延迟低于1秒,完全可以接受。

      15亿苹果设备受漏洞影响
      研究人员早在2019年5月就将该隐私问题报告给了苹果公司,并于2020年10月提出了一种名为PrivateDrop的解决方案来修复AirDrop 中的设计漏洞。
      截止目前,苹果公司仍未完全修复该隐私问题,预计有超过15亿苹果用户受到该漏洞的影响。用户唯一能做的自我防护方式就是在系统设置中禁用AirDrop发现功能。
      · 相关研究成果将在8月举办的安全顶会USENIX Security展示,研究论文参见:https://www.usenix.org/system/files/sec21fall-heinrich.pdf
      · 研究团队其他关于iOS和macOS安全的研究参见:https://www.informatik.tu-darmst ... tails_231616.en.jsp
      本文翻译自:https://www.informatik.tu-darmst ... tails_231616.en.jsp
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-24 04:45 , Processed in 0.070040 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表