Apple iPhone 的 AirDrop 功能可能洩漏手機門號等資訊

資安研究單位證實,透過低功率藍牙協定進行廣播連線的 Apple iPhone AirDrop 功能,可能洩漏包括手機門號在內的各種資訊。

據資安研究單位 Hexway 的報告指出,非常方便的 iPhone AirDrop 功能,可能洩露包括手機門號、電池容量、裝置名稱、無線網路連線狀況、iOS 版本號碼等資訊。

蘋果的 Mac 和 iPhone、iPad 等產品,有極為方便的「接續互通」功能,讓用戶可以簡單地透過無線方式傳送檔案,或在另一台設備上完成工作;這些功能係透過低功率藍牙和 Wi-Fi 無線連結完成,特別是低功率藍牙的廣播功能。

Hexway 分析 iPhone 發出的低功率藍牙資料封包,發現手機門號資訊係以 SHA256 進行加密傳送;然而駭客只要針對某一區域的所有手機門號預先以 SHA256 加密,得到一個對照表後,再用 iPhone 發出的門號 SHA256 雜湊值查表比對,即可找出你的門號。

Hexway 的報告中,也分析了運用 SHA256 查表法取得用戶 Wi-Fi 密碼或其他資訊的可能手法。

資料來源:

  1. https://hexway.io/blog/apple-bleee/
  2. https://arstechnica.com/information-technology/2019/08/apples-airdrop-and-password-sharing-features-can-leak-iphone-numbers/

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *