蘋果“查詢”功能竟能被用來傳輸任意資料?!
2009年,蘋果上線“查詢”(Find My)功能,幫助使用者查詢丟失的iPhone。隨後,Find My 功能逐漸升級,不僅支援查詢蘋果裝置,還支援第三方產品接入。為了能讓更多第三方裝置接入“查詢”(Find My )網路,蘋果最近推出了AirTag,給使用者帶來便利的同時也存在一些安全隱患。
據悉,Air Tag在接入“Find My”網路時,蘋果裝置會先解析AirTag,生成金鑰對並將公鑰推入AirTag。隨後,AirTag會傳送以公鑰為內容的低功耗藍芽廣播,附近的iPhone等(以開啟“Find My”功能)蘋果裝置可檢索其位置,使用廣播的公鑰對其位置進行加密,並上傳加密的位置資訊報告到蘋果伺服器。蘋果伺服器再向使用者裝置傳送解密後的位置報告完成查詢。
5月12日, 安全研究員 FabianBräunlein發現可以通過偽造的Air Tag(沒有聯網的裝置),藉由“Find My”網路來上傳任意資料。
在演示中,他製作了ESP32來模仿AirTag連線到Find My網路中,在加密廣播傳送位置的時候,將資料替換成要上傳的訊息,該訊息能夠隱藏在加密廣播中被其他蘋果裝置接收。
Fabian演示具體示意圖如下:
儘管還未知該漏洞是否會被用來惡意利用。但 Fabian 認為蘋果“Find My”系統端到端都是加密設計,蘋果可能很難完全避免濫用情況。
好訊息是“Find My”傳輸附加訊息的資訊量很小(以千位元組為單位),所以假冒 AirTag 傳輸資料能力會很有限。
目前蘋果對該漏洞還未做出任何回應,或許在將來會對其進行修復。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com
相關文章
- 蘋果資料傳輸軟體:Apeaksoft iPhone Transfer for Mac 中文啟用版蘋果iPhoneMac
- 有了資料湖,資料倉儲究竟能不能被取代?
- 蘋果啟用時間怎麼查詢?蘋果iPhone XR查詢保修日期的方法蘋果iPhone
- 資料庫資料的查詢----連線查詢資料庫
- 健康行業告別資料阻塞,迎來資料傳輸自由行業
- Xamarin Essentials教程實現資料的傳輸功能例項
- 破解微信資料庫 並查詢資料上傳伺服器資料庫伺服器
- Oracle資料庫的閃回查詢功能簡介Oracle資料庫
- MySQL - 資料查詢 - 簡單查詢MySql
- B樹查詢,磁碟查詢資料
- 資料庫 - 資料查詢資料庫
- 用Flask實現視訊資料流傳輸Flask
- iOS資料傳輸工具iOS
- 網站資料被惡意篡改洩露如何查詢漏洞網站
- 查詢資料時,segment header被訪問的次數Header
- Java ——MongDB 插入資料、 模糊查詢、in查詢Java
- 資料庫高階查詢之子查詢資料庫
- 資料庫 - 連線查詢、巢狀查詢、集合查詢資料庫巢狀
- indexedDB 查詢資料Index
- RESTFul資料查詢REST
- MySQL資料查詢MySql
- EF 查詢資料
- myGeneration——查詢資料
- 資料庫查詢資料庫
- MYSQL查詢資料MySql
- 關於印度跨境資料傳輸,印度放寬了跨境資料傳輸
- 用python實現TCP協議傳輸功能PythonTCP協議
- 在Linux下用DMA方式傳輸資料(轉)Linux
- 用SecureCRT來上傳和下載資料Securecrt
- 蘋果資料傳輸軟體:Apeaksoft iPhone Transfer for Mac v2.0.70中文啟用版蘋果iPhoneMac
- 蘋果迴應向騰訊傳輸瀏覽器資料,稱是標記惡意網址的安全功能蘋果瀏覽器
- 資料庫基礎查詢--單表查詢資料庫
- elasticsearch查詢之大資料集分頁查詢Elasticsearch大資料
- 資料庫查詢優化:巢狀查詢資料庫優化巢狀
- 回閃查詢查詢刪除的資料
- 資料庫查詢工具:RazorSQL mac啟用版資料庫SQLMac
- 資料檔案RESIZE導致查詢DBA_DATA_FILES被鎖
- 用doPost來接收post傳過來的資料並存入mysql資料庫MySql資料庫