▲蘋果AirDrop出現漏洞。(圖/達志影像/美聯社、翻攝自Apple官網) [Youtube]mREIeH_s3z8[/Youtube]
[Youtube]kTtNX5Tmk3Q[/Youtube]
蘋果「無線分享」AirDrop可以協助用戶傳送檔案,卻有消息指出,AirDrop在共享功能上出現了安全漏洞,該漏洞不會直接外洩個人隱私,但透過iPhone或Mac電腦發出的藍牙訊號,可以讓有心的工程師獲取iPhone的手機號碼、Wi-Fi密碼或Mac電腦地址,甚至可以追蹤用戶並直接從中截取正在傳送的檔案。
根據「Ars Technica」網站報導,當iPhone試圖透過AirDrop傳送照片或資料時,會開始搜尋附近的蘋果裝置,並利用低功耗藍牙(Bluetooth Low Energy, BLE)和Wi-Fi連接,隨後啟動共享功能。這項功能即為蘋果公司於2014年引進的「蘋果無線連接」(Apple Wireless Direct Link, AWDL)技術,方便用戶們分享照片和檔案。
然而,安全公司「Hexway」的研究人員近日發現,蘋果設備間的AirDrop與Wi-Fi密碼共享等AWDL技術中,部分加密的Hash(SHA256)封包裡竟然藏有iPhone電話號碼或Mac電腦的靜態地址,內容包括名字、作業系統版本、電池狀態及Wi-Fi使用狀況等相關資訊,再透過AirDrop與藍牙夾帶出去。
加密Hash封包所隱含的資訊對一般用戶而言沒有太大的作用,卻提供有心的工程師追蹤用戶的方法,例如在工作的辦公室共享這些位置數據好像無所謂,但在公共場所如地鐵上、酒吧、百貨公司等,暴露這些訊息就令人毛骨悚然,似乎可讓陌生人搜集並拼湊出完整的電話號碼等相關隱私,甚至從中截取正在共享的檔案。
此報告曝光後引起社群網友討論,截至目前,蘋果公司還沒有回應此事,也尚未經蘋果證實隱私問題。用戶若要避開隱私風暴,最簡單的方法或許是自行關閉藍牙功能。然而,多數蘋果用戶還有另外使用的藍牙設備,像是蘋果耳機AirPods或蘋果手錶Apple Watch都必須依賴藍牙連線,為求防止資訊追蹤而關閉藍牙功能,反而犧牲了用戶的使用環境。 |