游客发表
快科技7月1日讯—— 德国CISPA亥姆霍兹信息安全中心于6月25日发表重磅研究报告,影响首次对苹果AirDrop与谷歌Quick Share两大主流近场传输协议进行了深度对比分析。全球这两项功能目前覆盖全球超过50亿台智能手机与电脑设备,超亿出其安全性牵动无数用户神经。设备
研究团队通过自研专用测试工具,苹果对协议进行了逆向工程与漏洞挖掘,安卓安全共发现6个高危安全缺陷,隔空且所有漏洞均已向相关厂商完成合规报备。投送
为了实现免配对的快速连接,AirDrop和Quick Share在后台运行高权限进程,漏洞持续监听周边设备信号。影响这意味着,全球攻击者只需处于10至30米的超亿出无线范围内,无需获取用户授权,设备即可在身份验证完成前强行建立连接,苹果从而实施“零点击”攻击。

研究发现,苹果AirDrop存在3个拒绝服务(DoS)漏洞。这些缺陷会导致AirDrop、接力(Handoff)、投屏等全套生态联动功能崩溃。
搭载于三星等安卓机型的Quick Share协议暴露出两处严重缺陷:
由于相关底层代码归属于谷歌,该问题已正式转交谷歌处理。
此外,谷歌Windows版Quick Share客户端被发现存在严重的内存漏洞,可能导致远程代码执行(RCE)。目前,官方已发放漏洞赏金并推送了相应补丁。

该研究论文不仅详细对比了两套协议的设计缺陷,还给出了具体的修复方案。研究团队已将配套的测试工具及复现脚本全部开源,以促进安全社区的共同防御。
安全建议:
研究人员建议用户避免长期开启“全员可被发现”模式。在日常使用中,仅在进行文件传输时临时开启限时分享功能,以最大程度降低被近距离攻击的风险。
随机阅读
热门排行
友情链接