AirDropAirDrop是苹果iOS、iPadOS和macOS系统下独有的功能。它用于在多个设备之间共享文件。可以在朋友的头像上进行一对一的文件传输(类似于无线网络传输)。不过,德国达姆施塔特工业大学的研究人员发现苹果无线文件共享协议AirDrop存在安全漏洞,可能导致用户邮箱地址、手机号码等联系信息泄露。默认情况下,AirDrop仅在联系人中显示收件人设备。为了判断对方是否为联系人,AirDrop会使用多方认证机制,将用户的手机号码和邮箱地址与其他用户通讯录中的记录进行比对。研究人员发现该机制存在严重的隐私泄露安全漏洞。该漏洞的来??源在于该机制发现期间用于混淆交换的手机号码和电子邮件地址的哈希函数。研究人员分析发现,哈希函数并不能为联系人发现提供足够的隐私保护,因为哈希值可以通过暴力破解等方法快速逆向。因此,攻击者有可能获取附近AirDrop用户的手机号码和邮箱地址。攻击者唯一需要做的就是启用WiFi并保持相对靠近目标,并打开iOS或macOS设备的共享页面来模拟(设备)发现。PrivateDropPrivateDrop是一种优化的加密隐私集交互协议,可在两个用户之间安全地执行联系人发现,而无需交换易受攻击的哈希值。研究人员在iOS和macOS上的实施显示延迟低于1秒,这是完全可以接受的。15亿台苹果设备受漏洞影响研究人员早在2019年5月就向苹果报告了隐私问题,并于2020年10月提出了名为PrivateDrop的解决方案来修复AirDrop中的设计漏洞。截至目前,苹果并未完全修复隐私问题,估计有超过15亿苹果用户受此漏洞影响。用户保护自己的唯一方法是在系统设置中禁用AirDrop发现。相关研究成果将在8月举行的顶级安全会议USENIXSecurity上发布。研究论文请参考:https://www.usenix.org/system/files/sec21fall-heinrich.pdf其他研究团队对iOS和macOS安全的研究请参考:https://www.informatik。tu-darmstadt.de/fb20/ueber_uns_details_231616.en.jsp
