Don't Miss

AirDrop存漏洞洩機主電話號碼

By on April 28, 2021

原文刊於信報財經新聞「StartupBeat創科鬥室

德國有研究團隊發現,蘋果AirDrop存在嚴重的私隱漏洞。(TU Darmstadt圖片)

德國有研究團隊發現,蘋果AirDrop存在嚴重的私隱漏洞。(TU Darmstadt圖片)

蘋果iPhone用戶可透過iOS內部的AirDrop通訊協定,以無線方式把照片、影片、網站、地圖位置等內容,傳送至鄰近的Mac、iPhone、iPad或iPod touch裝置。近日德國達姆施塔特工業大學(TU Darmstadt)發現,這文件共享服務存在私隱漏洞,威脅全球15億蘋果裝置安全,論文將於8月舉行的USENIX安全研討會發表。

AirDrop一般設有三選項,分別是「關閉接收」、「只限通訊錄聯絡人」及「所有人」。由於個人的敏感數據,通常只跟已認識的人共享。為確定另一方是否聯絡人,AirDrop採用一種雙向身份驗證機制,把本身電話號碼及電郵地址跟另一用戶的通訊錄核對,造就個人資料外洩機會。

蘋果周一推出iOS 14.5系統更新,加入多項實用新功能。(蘋果公司圖片)

蘋果周一推出iOS 14.5系統更新,加入多項實用新功能。(蘋果公司圖片)

德團隊通報兩年未獲回覆

攻擊一方就算是陌生人,只要打開WiFi及藍牙連線,跟目標對象保持短距離,即可在iOS或macOS裝置上,隔空掃描對方的哈希值(Hash Values)。電話號碼的訊息量非常小,黑客仍可攔截及破解,把原有的內容逆轉過來,再將資料用作其他攻擊,例如網絡釣魚詐騙上。

研究團隊早於2019年5月,向蘋果通報了該私隱漏洞,惟至今尚未承認有關問題。為了在公共場所保障自己安全,建議用戶在裝置的系統設定,自行關閉AirDrop接收功能,並避免隨便打開「分享」選單。

iOS 14.5引入反追蹤功能,程式收集個人數據前,必須先獲用戶同意。(蘋果公司圖片)

iOS 14.5引入反追蹤功能,程式收集個人數據前,必須先獲用戶同意。(蘋果公司圖片)

iOS 14.5加強反追蹤功能

另一方面,蘋果周一(26日)推出iOS 14.5系統更新,正式引入「App追蹤透明度」反追蹤功能。當應用程式或網站收集個人數據,用作推送個人化廣告用途;或藉軟件或網站追蹤用戶,把資料跟其他公司共享前會彈出授權視窗,須獲用戶同意方可執行。

除了iPhone 12 Pro支援5G雙卡雙待,iOS 14.5其他新功能包括:新增嘆氣、頭暈等表情符號、支援AirTag及第三方Find My配件,容許以Apple Watch為iPhone解鎖、加入更自然的Siri聲線、重新設計的Apple Podcasts節目版面,以及「提醒事項」的新排序選項。

支持 StartupBeat

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們