影响全球超 50 亿台手机:苹果隔空投送 / 谷歌快速分享曝安全漏洞

就爱百科 百科资讯 2

7 月 1 日消息,CISPA 亥姆霍兹信息安全中心于 6 月 25 日发布论文,研究指出苹果隔空投送(AirDrop)和谷歌安卓快速分享(Quick Share)存在安全漏洞,影响全球超过 50 亿台 iPhone 和安卓手机。

研究人员深入研究苹果隔空投送和谷歌快速分享,发现这两套近距离无线传输系统为保证传输流程尽量无感,会以高权限后台服务运行,在附近出现其他设备时会立即唤醒。但问题是发送方身份尚未完成验证前,相关后台进程已经暴露。

在苹果生态中,漏洞利用点位于控制 AirDrop、AirPlay、Handoff、Universal Clipboard 与 Continuity Camera 的后台守护进程。

研究称,单个格式异常请求即可导致整套系统崩溃;如果攻击者每隔数秒重复发送同类请求,相关功能可能持续离线,形成拒绝服务状态。

在安卓生态中,研究人员测试了三星 Galaxy S23 Ultra 手机与谷歌 Windows 客户端,发现可以绕过关键认证步骤,并发现 Windows 客户端存在内存破坏漏洞。

对于普通用户而言,上述漏洞主要表现形式为拒绝服务,干扰用户数据传输,直接影响可用性与传输连续性。

修复方面,在本次披露的 3 个隔空投送漏洞中,苹果在近期更新中已修复其中 1 个;谷歌已为其 Windows 客户端发布补丁。

附上参考地址

  • Protocol Prying: Systematic Vulnerability Research in the Apple AirDrop and Android Quick Share Proximity Transfer Protocols