快科技7月1日消息,德國CISPA安全中心在6月25日發布專業論文,首次完整對比分析蘋果AirDrop、谷歌Quick Share兩大跨設備近場傳輸協議,兩類功能覆蓋全球超50億手機、電腦設備。
研究團隊自研專用測試工具完成逆向與漏洞挖掘,一共找到6個高危缺陷,且全部完成合規廠商報備。
兩類分享功能為了做到免配對快速連接,后臺高權限進程會持續監聽周邊設備,攻擊者只要在10-30米無線范圍內,不用獲取用戶授權,就能在身份驗證前建立連接,實現零點擊攻擊。
![]()
蘋果AirDrop存在3個拒絕服務漏洞,均會導致AirDrop、接力、投屏等全套聯動功能崩潰,根源是網絡請求、文件解析缺少限制,蘋果已經確認漏洞并修復其中一處,剩余補丁正在制作。
三星等安卓機型搭載的Quick Share有兩處協議缺陷,加密握手流程形同虛設,未認證攻擊者可直接下發控制指令,局域網中間人還能篡改明文控制消息,相關底層代碼歸屬谷歌,問題已轉交谷歌處理。
谷歌Windows版客戶端還有嚴重內存漏洞,存在遠程執行代碼風險,官方已發放漏洞賞金并推送補丁。
![]()
論文對比了兩套協議的設計缺陷并給出修復方案,研究配套測試工具、復現腳本全部開源。
同時建議用戶日常不要長期開啟全員可被發現模式,僅臨時開啟限時分享,降低被近距離攻擊的風險。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.