AirDrop漏洞使10億人面臨數據泄漏風險
蘋果的AirDrop“空投”功能給蘋果設備用戶分享文件帶來極大便利,同時也暗藏著隱私漏洞。令人匪夷所思的是,即便網絡安全業界已經發現問題并給出解決方案,蘋果公司至今仍不為所動。
德國達姆施塔特工業大學的一個漏洞調查小組曾對AirDrop(iOS和macOS的臨時無線文件共享服務)進行了逆向工程,結果發現發送方和接收方可能會在文件傳輸過程中泄漏聯系人信息,據說有十億以上的人面臨這種隱私泄漏風險(全球每時每刻都有超過十億個活躍的iPhone)。盡管該團隊早在2019年5月就警告蘋果公司,并在去年10月提出了解決問題的建議,但蘋果公司至今尚未發布任何修復程序。
達姆施塔特工業大學大學安全移動網絡實驗室的Milan Stute博士在接受媒體采訪時表示:“我們從2017年就開始研究這些協議,對很多東西進行了逆向工程,發現了兩個主要問題。”
AirDrop在Apple設備之間建立了TLS加密的直接對等Wi-Fi連接,以共享文件。達姆施塔特(Darmstadt)團隊分析了該專有Wi-Fi鏈路層協議(Apple Wireless DirectLink,編者:AirPlay也使用該協議)和AirDrop使用的藍牙連接,并找到了一種能夠竊取受害者聯系方式(通常是他們的電話號碼或電子郵件地址)的方法。
當嘗試在發送方和接收方之間建立AirDrop連接時,發送方會通過空中發送一條消息,該消息包含其用戶的電子郵件地址或電話號碼的哈希或數字指紋,作為身份驗證握手的一部分。作為響應,如果識別出發送方,則接收方將其哈希值發回。
達姆施塔特工業大學密碼學和隱私工程小組的克里斯蒂安·韋納特(Christian Weinert)指出:哈希函數是一種單向加密,接收方本不能從方向推斷出原始數據,不幸的是,蘋果使用了有20年歷史的SHA-256算法來執行哈希運算。因此,攻擊者能夠在毫秒之間就破解AirDrop用戶電話號碼的SHA-256哈希值,獲取電話號碼。
雖然電子郵件地址的哈希值很難破解,但攻擊者可以使用泄漏電子郵件地址的數據庫以及@gmail.com、@yahoo.com和類似郵件地址的字典攻擊來相對較快地將電子郵件地址哈希反轉為原始數據。
韋納特說:“我們沒有關于電子郵件哈希破解的具體時間,但是要知道,Facebook最近泄漏了超過5億個郵件地址。此外還有在線服務幫助攻擊者。”
研究人員指出,以下兩種攻擊場景已經被驗證:
- 不法分子可以設置一個系統來偵聽iPhone、iPad和Mac掃描附近啟用了AirDrop的設備。當這些iOS和macOS計算機掃描該區域時,偵聽系統會發出一條消息,其中包含用戶的聯系信息作為哈希,可以記錄并破解。然后,可以將該聯系信息用于目標網絡環境中的魚叉式網絡釣魚。
- 當不法分子試圖入侵目標環境,他可以選擇一個可被附近設備識別的電子郵件地址或電話號碼,例如,老板的郵件或者辦公室電話號碼。不法分子將AirDrop請求發送到附近的接收者,并在握手消息中以哈希形式發送該公共聯系方式。附近的接收者識別出哈希值代表的聯系方式,并回復包含其聯系方式的哈希消息。就這么簡單,攻擊者現在可以從收集的哈希值中確定支持AirDrop的周圍設備的電子郵件地址和電話號碼,再次用于魚叉式釣魚。
研究者指出,以上都是比較復雜的漏洞,并不是廣大公眾真正擔心的事情,但卻足夠令人討厭。
達姆施塔特工業大學的安全團隊遵循負責任的披露準則,于2019年5月將這些漏洞通知給蘋果,蘋果公司也表示將對此進行調查。幾個月后,Apple Bleee項目也發現了其中一個漏洞。但是2020年7月,蘋果公司卻表示“沒有對新功能進行任何更新,或緩解潛在問題的任何更改。”
有趣的是,達姆施塔特團隊做到了,三個月后,該團隊向蘋果公司發送了該問題的解決方案,將代碼以PrivateDrop的形式發布在GitHub上
(https://privatedrop.github.io/)。該方法可以防止哈希破解,甚至還將AirDrop的連接建立時間縮短了一秒鐘。
近日,達姆施塔特團隊公布了AirDrop安全性研究論文(文末),并將在八月的USENIX安全'21會議上發布。據悉蘋果已經收到了該論文的完整副本,并且對達姆施塔特團隊表達了謝意。
不幸的是,PrivateDrop代碼不是普通Apple用戶可以DIY自行安裝的程序。韋納特表示:“我們所做的只是概念驗證代碼,想部署到蘋果設備還需要蘋果公司的幫助,因為這涉及操作系統級別的更新。”
參考資料:https://www.usenix.org/system/files/sec21fall-heinrich.pdf
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
