圈小蛙

研究人员表示,苹果早在2019年就知道AirDrop用户可能会被识别和跟踪

研究人员告诉CNN,安全研究人员早在2019年就警告过苹果公司其AirDrop无线共享功能存在漏洞,中国当局声称他们最近利用该漏洞追踪该功能的用户,专家称此案对全球隐私产生了广泛影响。

中国政府针对全球苹果用户用来分享照片和文档的工具采取的执法行动,以及苹果公司在解决这些漏洞方面的明显不作为,再次引发了美国立法者和隐私权倡导者长期以来对苹果公司与中国的关系以及当局有能力利用这些漏洞的担忧。

AirDrop允许附近的苹果用户使用蓝牙和其他无线连接的专有组合共享文件,而无需连接到互联网。北京司法部门近期表示,一家位于北京的中国科技公司网神科技能够入侵AirDrop,以识别北京地铁上被指控分享违法信息的用户,中国官员将这一漏洞描述为一种有效的执法手段。

此事引起了美国高层立法者的警惕。佛罗里达州参议员、参议院情报委员会主要共和党人马可·卢比奥(Marco Rubio)呼吁苹果公司迅速采取行动。

“任何使用iPhone的人都应该关心苹果AirDrop功能的安全性,”卢比奥告诉CNN,“现在是采取行动的时候了,苹果必须为未能保护其用户免受此类公然安全漏洞的侵害承担责任。”

苹果公司发言人没有回复多封寻求置评的电子邮件和电话。

达姆施塔特技术大学(Technical University of Darmstadt)的一组德国研究人员于2019年首次发现了这些漏洞,他们周四告诉CNN,他们已确认苹果公司当时收到了他们的原始报告,但该公司似乎没有根据调查结果采取行动。研究人员表示,该组织在2021年发布了针对该问题的修复方案,但苹果似乎尚未实施。

其中一名研究人员米兰·斯图特(Milan Stute)向CNN分享了一封电子邮件,其中显示苹果产品安全团队的代表承认了研究人员2019年的报告。

“未采取”预防措施

网神公司表示,他们通过收集两台苹果设备在使用AirDrop时必须传输的一些基本身份信息(包括设备名称、电子邮件地址和电话号码),利用了这些漏洞。

通常,出于隐私原因,这些信息会被加密。但是,根据英国网络安全公司Sophos于2021年对达姆施塔特研究进行的另一项分析,苹果似乎没有采取额外的预防措施,即在混合数据中添加虚假数据以进一步随机化结果,这一过程称为“加盐”。”

宾夕法尼亚州立大学帕尔默电信系主任萨沙·迈因拉特(Sascha Meinrath)表示,这一明显的失误使这家中国科技公司能够更容易更轻松地从加密数据中逆向获取原始信息,这似乎是苹果公司的“业余失误”。“这当然值得苹果公司做出解释,因为这表明他们的技术存在严重缺陷。”

虽然AirDrop的设备到设备通信通道通常有自己的安全保护层,不会被第三方窥探,但这并不能保护那些可能被诱骗与陌生人连接的人,也许是通过点击联系人列表中被欺骗性命名的设备,或者是不经意地接受了一个未经请求的连接请求。安全专家认为,要识别发件人,就必须采取这一步骤。

专家表示,一旦设备识别信息被未经授权的第三方交换和获取,由于没有加盐,就可以很容易地猜测出可以解读数据的正确代码。

德国研究人员之一亚历山大·海因里希(Alexander Heinrich)表示,声称利用了AirDrop漏洞的中国科技公司网神科技似乎使用了达姆施塔特研究人员于2019年首次发现的一些相同技术。

海因里希对CNN表示:“据我们所知,苹果到目前为止还没有解决这个问题。”

专门从事数字取证的独立安全研究员肯·怀特(Kenn White)同意,中国公司披露的取证行为与德国研究人员的发现一致。

“根据我的阅读,我想说这几乎肯定使用了海因里希等人发表的相同技术,”怀特说,“三年多了,这个设计缺陷似乎还没有得到解决。”

苹果面临压力

在中国新闻曝光后,俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)在国会中直言不讳地倡导隐私权,他批评苹果公司在保护客户方面“公然失败”。

怀登在给CNN的一份声明中表示:“苹果公司花了四年的时间来修复AirDrop中的安全漏洞,该漏洞使其用户的隐私和安全面临风险。”“苹果公司袖手旁观,什么也没做。”

AirDrop漏洞背后的科技公司有着与中国执法和安全部门密切合作的历史。

根据公司数据库Aiqicha的数据,其母公司是强大的中国网络安全公司奇安信。据新华社报道,奇安信受聘保护2022年北京冬奥会免受网络攻击。

Exit mobile version