DC娱乐网

安全研究人员发现了三项隔空投送(AirDrop)安全漏洞,该漏洞同时影响iPho

安全研究人员发现了三项隔空投送(AirDrop)安全漏洞,该漏洞同时影响iPhone与Mac设备,安卓的快速共享(Quick Share)功能也存在同类缺陷。

攻击者可轻易利用这些漏洞,致使隔空投送、隔空播放、接力、通用剪贴板以及连续互通相机功能崩溃;只要攻击持续进行,上述服务就会始终无法正常使用……

安全资讯平台HelpNetSecurity表示,发起该攻击的操作门槛极低。

实施近距离攻击仅需一台搭载无线网卡的笔记本电脑,且设备处于10至30米有效信号范围内即可。整个过程无需设备配对、交换联系方式,也不用接入同一局域网。若Apple设备的隔空投送接收权限设置为所有人,协议会在弹出用户确认弹窗前就完成前期交互流程。

利好消息是,攻击者无法借此窃取设备内任何数据;但弊端在于,攻击者能远程瘫痪iPhone和Mac上多款Apple互联配套服务。

这三项隔空投送漏洞最终都会引发程序崩溃。其中最简单的漏洞源于一段用于按路径处理网络请求的代码,代码内存在Swift致命错误调用。当程序接收到路径无法识别的请求时,就会触发该报错并终止全部处理流程。

仅一条简短请求就能同时让隔空投送、隔空播放、接力、通用剪贴板、连续互通相机全部失效。若每隔数秒循环发送该请求,就能持续阻断各项互联服务。实测过程中,攻击生效时所有正常互联连接请求全部失败,攻击停止后功能即可恢复正常。

安全研究人员表示,这类漏洞很难从根源上彻底杜绝,尽管Apple与谷歌两套系统共用代码极少,却都出现了同类问题。

“这种安全缺陷并非Apple或谷歌独有,”该研究人员称,“这反映出近距离互联协议普遍存在工程层面难题。这类服务的设计目标是实现无感知流畅使用体验,这就要求高权限后台进程,在完成身份验证、获取用户授权前,就要处理由攻击者可控的复杂输入数据,这无可避免地形成了大面积验证前攻击面。”

研究人员遵循标准负责任漏洞披露流程,暂不公开漏洞具体利用细节,留给Apple与谷歌充足时间修复缺陷。但透露Apple已完成其中一项漏洞的修复工作,剩余两项仍在推进修复。

该研究人员称,其中一项隔空投送漏洞现已完成修复并分配专属漏洞编号:“Apple方面告知我们,上报的一项隔空投送漏洞已在系统更新中修复,同时分配了CVE漏洞编号。相关安全通告与CVE编号尚未公开发布,现阶段我无法披露更多细节,其余提交给Apple的漏洞仍处于协同披露周期,暂未分配公开CVE编号。”