根据一份新报告,Apple至少自2019年以来就知道似乎导致AirDrop破解的安全漏洞。
关于如何获得通过AirDrop传输文件的人的电话号码和电子邮件地址,也出现了一些新的细节......
AirDrop仅用于共享您的手机名称(您可以将其设置为您喜欢的任何名称)。您的Apple ID不应被披露,也不应披露与之相关的联系信息,即您的电话号码和电子邮件地址。这种安全措施使反活动在互联网上分发受审查的信息成为一种安全的方式。
彭博社昨天报道称,一家机构破解了隔空投送加密,揭示了发送文件人的身份。Macworld能够复制它怀疑的部分事情。
在Mac上启动了控制台,并从iPhone将文件AirDrop传输到它,从控制台日志数据中发现“共享”过程负责AirDrop。这包含一个名为“AirDrop”的专用子进程,但在文件传输期间,其他几个子进程也处于活动状态。在其中一个子进程中发现了iPhone的名称,以及蓝牙信号的强度。
“AirDrop”子进程实际上存储了属于已联系iPhone的电子邮件和电话号码的哈希值(见屏幕截图),但无法访问纯文本。虽然该网站未能破解哈希,但能够做到这一点似乎并不为时之犹豫。
虽然存储为散列值,但相当容易破译:电话号码仅由数字组成,并且很容易使用暴力攻击进行解码。对于电子邮件,攻击者猜测通常的别名结构,然后在泄露电子邮件的字典和数据库中搜索可能的匹配项。
安全研究人员长期以来一直警告Apple,以这种方式编码电话号码和电子邮件地址并将其发送到接收设备的风险。这些警告至少可以追溯到2019年。
其中之一是达姆施塔特工业大学的亚历山大·海因里希,他在2021年告诉Apple:我们发现了底层协议中的两个设计缺陷,这些缺陷允许攻击者了解发件人和接收设备的电话号码和电子邮件地址。Apple在开发iOS 16时回应了他,但似乎没有解决这个问题。
其中一个可能的原因是,切换到更安全的AirDrop协议版本,Heinrich和他的团队提出的PrivateDrop协议——不会向后兼容。这意味着在传输到无法运行最新iOS版本的旧设备时,AirDrop将不再起作用。Apple不想破坏AirDrop与旧设备的兼容性,这在某种程度上是可以理解的。然而现在这种脆弱性正在被积极利用,并考虑到这里的极高风险。
关于如何获得通过AirDrop传输文件的人的电话号码和电子邮件地址,也出现了一些新的细节......
AirDrop仅用于共享您的手机名称(您可以将其设置为您喜欢的任何名称)。您的Apple ID不应被披露,也不应披露与之相关的联系信息,即您的电话号码和电子邮件地址。这种安全措施使反活动在互联网上分发受审查的信息成为一种安全的方式。
彭博社昨天报道称,一家机构破解了隔空投送加密,揭示了发送文件人的身份。Macworld能够复制它怀疑的部分事情。
在Mac上启动了控制台,并从iPhone将文件AirDrop传输到它,从控制台日志数据中发现“共享”过程负责AirDrop。这包含一个名为“AirDrop”的专用子进程,但在文件传输期间,其他几个子进程也处于活动状态。在其中一个子进程中发现了iPhone的名称,以及蓝牙信号的强度。
“AirDrop”子进程实际上存储了属于已联系iPhone的电子邮件和电话号码的哈希值(见屏幕截图),但无法访问纯文本。虽然该网站未能破解哈希,但能够做到这一点似乎并不为时之犹豫。
虽然存储为散列值,但相当容易破译:电话号码仅由数字组成,并且很容易使用暴力攻击进行解码。对于电子邮件,攻击者猜测通常的别名结构,然后在泄露电子邮件的字典和数据库中搜索可能的匹配项。
安全研究人员长期以来一直警告Apple,以这种方式编码电话号码和电子邮件地址并将其发送到接收设备的风险。这些警告至少可以追溯到2019年。
其中之一是达姆施塔特工业大学的亚历山大·海因里希,他在2021年告诉Apple:我们发现了底层协议中的两个设计缺陷,这些缺陷允许攻击者了解发件人和接收设备的电话号码和电子邮件地址。Apple在开发iOS 16时回应了他,但似乎没有解决这个问题。
其中一个可能的原因是,切换到更安全的AirDrop协议版本,Heinrich和他的团队提出的PrivateDrop协议——不会向后兼容。这意味着在传输到无法运行最新iOS版本的旧设备时,AirDrop将不再起作用。Apple不想破坏AirDrop与旧设备的兼容性,这在某种程度上是可以理解的。然而现在这种脆弱性正在被积极利用,并考虑到这里的极高风险。
#悠塔[超话]##咨询:kikia7598#
与顾ke的幸福联动♥️
“期待,没加错人!!”
互联网千千万万的人 但是还是让我们相遇了呀哈哈哈 我的顾ke们都好可爱 而且跟我聊天都会莫名的对我信任了起来!!沟通这个桥梁建立的真的稳稳当当的~
不管顾ke消fei多少 在我这里都是我的公主们~
公主请发财!!请幸福!!请平安!!请快乐!!
与顾ke的幸福联动♥️
“期待,没加错人!!”
互联网千千万万的人 但是还是让我们相遇了呀哈哈哈 我的顾ke们都好可爱 而且跟我聊天都会莫名的对我信任了起来!!沟通这个桥梁建立的真的稳稳当当的~
不管顾ke消fei多少 在我这里都是我的公主们~
公主请发财!!请幸福!!请平安!!请快乐!!
#最舍不得删的聊天记录# 之
P1妈妈手术后在家养的几只啥玩意儿,最后被热死了[笑cry]
P2听到我不回家妈妈信息里的失落[悲伤]
P3/P4笑死,妈妈教我要做一个眼睛会说话的女人[哈哈]
P5要给朋友发红包微信里差10块钱找她要,给我转了100块[心]
P6每年生日都能收到的提醒[笑cry]
P7/P8/P9妈妈在我这里时,每天早上做好饭叫我起床上班,从我这里回去第一天,还担心我吃不上饭早上起不来去上班[泪]
互联网即时动态的另一个好处也是可以记录当下,只是好可惜丢了那个手机里那两年的消息,和没来得及记录的情绪。
P1妈妈手术后在家养的几只啥玩意儿,最后被热死了[笑cry]
P2听到我不回家妈妈信息里的失落[悲伤]
P3/P4笑死,妈妈教我要做一个眼睛会说话的女人[哈哈]
P5要给朋友发红包微信里差10块钱找她要,给我转了100块[心]
P6每年生日都能收到的提醒[笑cry]
P7/P8/P9妈妈在我这里时,每天早上做好饭叫我起床上班,从我这里回去第一天,还担心我吃不上饭早上起不来去上班[泪]
互联网即时动态的另一个好处也是可以记录当下,只是好可惜丢了那个手机里那两年的消息,和没来得及记录的情绪。
✋热门推荐