首页 / 科技 / 苹果安全研究揭示隔空投送与安卓快速分享存多项漏洞

苹果安全研究揭示隔空投送与安卓快速分享存多项漏洞

摸鱼不慌
摸鱼不慌管理员

近日,苹果安全研究人员发现三则隔空投送(AirDrop)漏洞,该问题同时影响iPhone与Mac设备。与此同时,安卓系统的快速分享(Quick Share)功能中也被检出了同类漏洞。

漏洞覆盖范围

此次发现的漏洞涉及苹果设备之间的隔空投送功能,该功能用于iOS和macOS设备间的文件快速传输。根据苹果安全团队的分析,这些漏洞可能被利用来干扰设备的正常通信或数据交换流程。

安卓快速分享同样受检

在跨平台对比测试中,安卓设备搭载的快速分享(Quick Share)功能也被发现存在类似安全缺陷。研究人员指出,该功能作为安卓生态中的文件传输工具,其与隔空投送在实现逻辑上具有部分相似性,这或许是同类漏洞被同时检出的原因之一。

研究人员表示,此次发现的三则隔空投送漏洞均属于同一攻击向量类别,安卓快速分享中被检出的漏洞也属于相同类型。

行业影响与建议

苹果方面已向受影响的用户推送安全更新,建议用户及时升级至最新系统版本以修复潜在风险。安卓用户同样被建议关注厂商后续发布的安全补丁。

  • AirDrop是苹果设备间通过蓝牙和Wi-Fi进行近距离文件传输的功能。
  • Quick Share是安卓系统自2019年起推出的设备间文件共享服务,支持与部分Chromebook和Windows设备互通。

截至目前,苹果和谷歌官方尚未就漏洞成因及未来防护措施发布进一步声明。

苹果安全研究揭示隔空投送与安卓快速分享存多项漏洞  第1张

苹果跨设备服务现安全漏洞:攻击者可远程引发功能崩溃

据外媒报道,苹果公司旗下多项跨设备联动服务被发现存在安全漏洞。在特定条件下,攻击者可利用这些漏洞致使隔空投送、隔空播放(AirPlay)、接力(Handoff)、通用剪贴板以及连续互通相机发生崩溃。只要攻击持续,这些功能就会一直无法使用。

攻击门槛较低:仅需一台笔记本电脑与30米内信号

发起该攻击的操作门槛极低。近距离攻击者仅需一台带WiFi功能的笔记本电脑,且处于10-30米有效信号范围内即可。整个过程无需设备配对、交换联系人信息,也不用接入同一网络。

若苹果设备的隔空投送接收权限设置为“所有人”,协议会在弹出用户确认弹窗前就完成前期交互流程。

攻击影响:仅瘫痪服务,无法窃取数据

好消息是攻击者无法通过该漏洞窃取任何设备数据。但弊端在于,攻击者可远程瘫痪iPhone、Mac上多款苹果跨设备联动服务。受影响的功能包括文件传输、屏幕镜像、设备间任务流转等日常高频使用的系统级功能。

关键流程解析:隔空投送协议前期交互环节

隔空投送(AirDrop)是苹果设备间通过蓝牙与WiFi建立点对点连接的文件传输协议。当接收权限设置为“所有人”时,设备在弹出用户确认弹窗前,已自动完成设备发现、身份验证等前期交互流程。攻击者正是利用这一环节的协议漏洞,在无需用户确认的情况下持续发送恶意请求,导致对应服务进程崩溃。

  • 影响范围:iPhone、Mac等支持上述跨设备联动服务的苹果产品。
  • 攻击条件:攻击者设备与目标设备距离在10-30米范围内,且均开启WiFi。
  • 防护建议:用户可将隔空投送接收权限设置为“仅联系人”或关闭该功能,以减少被攻击风险。
苹果安全研究揭示隔空投送与安卓快速分享存多项漏洞  第2张

隔空投送漏洞可致五大互联功能同时崩溃 单条请求即能锁死服务

安全研究团队披露,隔空投送功能存在三则安全漏洞,攻击者通过发送一条简短网络请求即可触发程序崩溃,影响隔空投送、隔空播放、接力、通用剪贴板、连续互通相机五大互联功能。

漏洞触发原理

最简漏洞源于一段Swift代码中的致命错误调用。该代码负责依据路径转发传入的网络请求。当设备收到指向未知路径的请求时,会引发报错并直接终止整套服务进程。

攻击效果与实测

实测显示,攻击进行期间所有正常的设备互联请求全部失败。攻击停止后,相关功能立即恢复正常。如果攻击者每隔数秒循环发送该请求,则可持续锁死上述五类服务。

仅一条简短请求,就能同时搞崩隔空投送、隔空播放、接力、通用剪贴板、连续互通相机五大功能;若每隔数秒循环发送该请求,就能持续锁死相关服务。

影响范围解析

三类漏洞最终均导致程序崩溃,其中利用未知路径触发异常的方式最为简明。该缺陷本质上是对传入网络请求的路径验证不完善,致使错误处理代码直接终止整个进程组。

  • 漏洞类型:程序崩溃,基于Swift代码路径转发逻辑缺陷
  • 攻击方式:发送指向未知路径的单一网络请求
  • 受影响功能:隔空投送、隔空播放、接力、通用剪贴板、连续互通相机
  • 持续攻击效果:循环发送可长时间锁死服务,停止后立刻恢复