AirDrop漏洞使10億人面臨數(shù)據(jù)泄漏風(fēng)險(xiǎn)
蘋(píng)果的AirDrop“空投”功能給蘋(píng)果設(shè)備用戶分享文件帶來(lái)極大便利,同時(shí)也暗藏著隱私漏洞。令人匪夷所思的是,即便網(wǎng)絡(luò)安全業(yè)界已經(jīng)發(fā)現(xiàn)問(wèn)題并給出解決方案,蘋(píng)果公司至今仍不為所動(dòng)。
德國(guó)達(dá)姆施塔特工業(yè)大學(xué)的一個(gè)漏洞調(diào)查小組曾對(duì)AirDrop(iOS和macOS的臨時(shí)無(wú)線文件共享服務(wù))進(jìn)行了逆向工程,結(jié)果發(fā)現(xiàn)發(fā)送方和接收方可能會(huì)在文件傳輸過(guò)程中泄漏聯(lián)系人信息,據(jù)說(shuō)有十億以上的人面臨這種隱私泄漏風(fēng)險(xiǎn)(全球每時(shí)每刻都有超過(guò)十億個(gè)活躍的iPhone)。盡管該團(tuán)隊(duì)早在2019年5月就警告蘋(píng)果公司,并在去年10月提出了解決問(wèn)題的建議,但蘋(píng)果公司至今尚未發(fā)布任何修復(fù)程序。
達(dá)姆施塔特工業(yè)大學(xué)大學(xué)安全移動(dòng)網(wǎng)絡(luò)實(shí)驗(yàn)室的Milan Stute博士在接受媒體采訪時(shí)表示:“我們從2017年就開(kāi)始研究這些協(xié)議,對(duì)很多東西進(jìn)行了逆向工程,發(fā)現(xiàn)了兩個(gè)主要問(wèn)題。”
AirDrop在Apple設(shè)備之間建立了TLS加密的直接對(duì)等Wi-Fi連接,以共享文件。達(dá)姆施塔特(Darmstadt)團(tuán)隊(duì)分析了該專有Wi-Fi鏈路層協(xié)議(Apple Wireless DirectLink,編者:AirPlay也使用該協(xié)議)和AirDrop使用的藍(lán)牙連接,并找到了一種能夠竊取受害者聯(lián)系方式(通常是他們的電話號(hào)碼或電子郵件地址)的方法。
當(dāng)嘗試在發(fā)送方和接收方之間建立AirDrop連接時(shí),發(fā)送方會(huì)通過(guò)空中發(fā)送一條消息,該消息包含其用戶的電子郵件地址或電話號(hào)碼的哈希或數(shù)字指紋,作為身份驗(yàn)證握手的一部分。作為響應(yīng),如果識(shí)別出發(fā)送方,則接收方將其哈希值發(fā)回。
達(dá)姆施塔特工業(yè)大學(xué)密碼學(xué)和隱私工程小組的克里斯蒂安·韋納特(Christian Weinert)指出:哈希函數(shù)是一種單向加密,接收方本不能從方向推斷出原始數(shù)據(jù),不幸的是,蘋(píng)果使用了有20年歷史的SHA-256算法來(lái)執(zhí)行哈希運(yùn)算。因此,攻擊者能夠在毫秒之間就破解AirDrop用戶電話號(hào)碼的SHA-256哈希值,獲取電話號(hào)碼。
雖然電子郵件地址的哈希值很難破解,但攻擊者可以使用泄漏電子郵件地址的數(shù)據(jù)庫(kù)以及@gmail.com、@yahoo.com和類似郵件地址的字典攻擊來(lái)相對(duì)較快地將電子郵件地址哈希反轉(zhuǎn)為原始數(shù)據(jù)。
韋納特說(shuō):“我們沒(méi)有關(guān)于電子郵件哈希破解的具體時(shí)間,但是要知道,F(xiàn)acebook最近泄漏了超過(guò)5億個(gè)郵件地址。此外還有在線服務(wù)幫助攻擊者。”
研究人員指出,以下兩種攻擊場(chǎng)景已經(jīng)被驗(yàn)證:
- 不法分子可以設(shè)置一個(gè)系統(tǒng)來(lái)偵聽(tīng)iPhone、iPad和Mac掃描附近啟用了AirDrop的設(shè)備。當(dāng)這些iOS和macOS計(jì)算機(jī)掃描該區(qū)域時(shí),偵聽(tīng)系統(tǒng)會(huì)發(fā)出一條消息,其中包含用戶的聯(lián)系信息作為哈希,可以記錄并破解。然后,可以將該聯(lián)系信息用于目標(biāo)網(wǎng)絡(luò)環(huán)境中的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)。
- 當(dāng)不法分子試圖入侵目標(biāo)環(huán)境,他可以選擇一個(gè)可被附近設(shè)備識(shí)別的電子郵件地址或電話號(hào)碼,例如,老板的郵件或者辦公室電話號(hào)碼。不法分子將AirDrop請(qǐng)求發(fā)送到附近的接收者,并在握手消息中以哈希形式發(fā)送該公共聯(lián)系方式。附近的接收者識(shí)別出哈希值代表的聯(lián)系方式,并回復(fù)包含其聯(lián)系方式的哈希消息。就這么簡(jiǎn)單,攻擊者現(xiàn)在可以從收集的哈希值中確定支持AirDrop的周圍設(shè)備的電子郵件地址和電話號(hào)碼,再次用于魚(yú)叉式釣魚(yú)。
研究者指出,以上都是比較復(fù)雜的漏洞,并不是廣大公眾真正擔(dān)心的事情,但卻足夠令人討厭。
達(dá)姆施塔特工業(yè)大學(xué)的安全團(tuán)隊(duì)遵循負(fù)責(zé)任的披露準(zhǔn)則,于2019年5月將這些漏洞通知給蘋(píng)果,蘋(píng)果公司也表示將對(duì)此進(jìn)行調(diào)查。幾個(gè)月后,Apple Bleee項(xiàng)目也發(fā)現(xiàn)了其中一個(gè)漏洞。但是2020年7月,蘋(píng)果公司卻表示“沒(méi)有對(duì)新功能進(jìn)行任何更新,或緩解潛在問(wèn)題的任何更改。”
有趣的是,達(dá)姆施塔特團(tuán)隊(duì)做到了,三個(gè)月后,該團(tuán)隊(duì)向蘋(píng)果公司發(fā)送了該問(wèn)題的解決方案,將代碼以PrivateDrop的形式發(fā)布在GitHub上
(https://privatedrop.github.io/)。該方法可以防止哈希破解,甚至還將AirDrop的連接建立時(shí)間縮短了一秒鐘。
近日,達(dá)姆施塔特團(tuán)隊(duì)公布了AirDrop安全性研究論文(文末),并將在八月的USENIX安全'21會(huì)議上發(fā)布。據(jù)悉蘋(píng)果已經(jīng)收到了該論文的完整副本,并且對(duì)達(dá)姆施塔特團(tuán)隊(duì)表達(dá)了謝意。
不幸的是,PrivateDrop代碼不是普通Apple用戶可以DIY自行安裝的程序。韋納特表示:“我們所做的只是概念驗(yàn)證代碼,想部署到蘋(píng)果設(shè)備還需要蘋(píng)果公司的幫助,因?yàn)檫@涉及操作系統(tǒng)級(jí)別的更新。”
參考資料:https://www.usenix.org/system/files/sec21fall-heinrich.pdf
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
