![]()
近日,德國(guó)CISPA亥姆霍茲信息安全中心發(fā)布最新研究論文,指出蘋(píng)果AirDrop(隔空投送)與谷歌Quick Share(快速分享)兩大主流近場(chǎng)傳輸協(xié)議存在安全缺陷。該漏洞影響范圍廣泛,涵蓋全球超過(guò)50億臺(tái)iPhone及安卓設(shè)備,引發(fā)了業(yè)界對(duì)無(wú)線傳輸安全性的廣泛關(guān)注。
研究人員分析發(fā)現(xiàn),為了追求“無(wú)縫銜接”的傳輸體驗(yàn),這兩套系統(tǒng)均以高權(quán)限后臺(tái)服務(wù)運(yùn)行,并在檢測(cè)到附近設(shè)備時(shí)立即喚醒。然而,這一設(shè)計(jì)導(dǎo)致在發(fā)送方身份完成驗(yàn)證之前,相關(guān)后臺(tái)進(jìn)程便已暴露,從而為攻擊者留下了可乘之機(jī)。
在蘋(píng)果生態(tài)中,漏洞利用點(diǎn)主要集中在控制AirDrop、AirPlay、Handoff(接力)、Universal Clipboard(通用剪貼板)及Continuity Camera(連續(xù)互通相機(jī))的后臺(tái)守護(hù)進(jìn)程上。研究表明,攻擊者僅需發(fā)送單個(gè)格式異常請(qǐng)求,即可導(dǎo)致整套系統(tǒng)崩潰;若每隔數(shù)秒重復(fù)發(fā)送同類(lèi)請(qǐng)求,相關(guān)功能將陷入持續(xù)的拒絕服務(wù)狀態(tài),嚴(yán)重影響用戶的跨設(shè)備協(xié)同體驗(yàn)。
在安卓生態(tài)方面,研究人員通過(guò)對(duì)三星Galaxy S23 Ultra手機(jī)及谷歌Windows客戶端的測(cè)試,發(fā)現(xiàn)攻擊者能夠繞過(guò)關(guān)鍵認(rèn)證步驟。此外,谷歌的Windows客戶端還被證實(shí)存在內(nèi)存破壞漏洞,進(jìn)一步增加了安全風(fēng)險(xiǎn)。
對(duì)于普通用戶而言,這些漏洞的主要威脅表現(xiàn)為拒絕服務(wù)攻擊,即干擾正常的數(shù)據(jù)傳輸流程,導(dǎo)致功能不可用或傳輸中斷,但并不會(huì)直接造成用戶隱私數(shù)據(jù)泄露。
在修復(fù)進(jìn)展方面,針對(duì)本次披露的3個(gè)AirDrop漏洞,蘋(píng)果已在近期的系統(tǒng)更新中緊急修復(fù)了其中1個(gè);谷歌也已為其Windows客戶端發(fā)布了相應(yīng)的安全補(bǔ)丁。不過(guò),剩余漏洞的徹底解決仍有待后續(xù)更新。此次事件也再次提醒各大科技廠商,在追求極致便捷體驗(yàn)的同時(shí),需進(jìn)一步筑牢底層安全防線。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.