Apple 於 2014 引進 Apple Wireless Direct Link 技術,簡稱 AWDL,可利用低功耗藍牙及 Wi-Fi 連接其他 Apple 裝置,提供 AirDrop 及 Wi-Fi 密碼共享等功能,讓用家快速分享檔案,不過近日有人發現這個功能出現安全漏洞,有機會會洩漏自己的個人電話號碼。
【精選消息】
【精選消息】
根據外安全公司 Hexway 研究人員的發現,AWDL 技術會長時間透過藍牙廣播一個加密封包 SHA256,讓其他 Apple 裝置可快速配對,好像使用 AirDrop 時可找到其他用家的手機或在 MacBook 上查看手機上正使用 Safari 瀏覽的網頁等,但加密封包中除了包括用手機名稱及型號、使用狀態、Wi-Fi 狀態、操作版本等資料外,竟同時含有電話號碼,雖然電話號碼會被加密,但別有用心的人可透過電腦程式解密,取得用家的電話號碼。
透過藍牙取得電話號碼。
透過 AirDrop 取得手機資料。
只要用家開啓藍牙功能,以及使用 AirDrop、Wi-Fi 熱點分享功能時,手機就會持續發送加密封包 SHA256,讓其他人有機會取得部分個人資料,除了可取得手機號碼外,亦可反向偽裝成其他藍牙裝置或向用家索取 Wi-Fi 密碼,Hexway 表示這個情況只有 iOS 10.3.1 後才會出現,但 iPhone 6s 或更舊款的型號即使升級系統後也不會出現這個問題,估計是為了節省電量。目前 Apple 並未有回應,而這個漏洞亦未有解決方法,只可長時間關閉藍牙功能,會影響智能手錶等日常操作,不過現時只測試了可以解碼美國的電話號碼,未知香港的電話號碼會否有影響。
偽裝成 AirPods。
偽裝成其他人查詢 Wi-Fi 密碼。
【相關新聞】
【相關新聞】
Source:9to5mac.com, hexway.io