AirDrop 驚現 3 大安全漏洞!10 米內一駁即癱瘓黑客輕鬆攔截資料 Easy Job?Apple 表明緊急修復中

| 蘇家華 | 02-07-2026 08:08 |
AirDrop 驚現 3 大安全漏洞!10 米內一駁即癱瘓黑客輕鬆攔截資料 Easy Job?Apple 表明緊急修復中

不少 iPhone 用家每日都會利用 AirDrop 傳送相片或文件,但原來這個方便功能竟然暗藏安全風險。近日德國 CISPA Helmholtz Center for Information Security 研究團隊揭露 AirDrop 存在 3 個重大漏洞,讓黑客只要身處約 10m 範圍內,便有機會攔截資料,甚至令 AirDrop 功能失效及發動拒絕服務 DoS 攻擊。現時 Apple 已確認以上問題存在,並表示正在緊急修復中。其實不只 Apple,Android 的快速分享 Quick Share 也有類似漏洞。

即刻按此,用 App 睇更多產品開箱影片

AirDrop 驚現 3 大安全漏洞

近日德國 CISPA Helmholtz Center  for Information Security 研究團隊,透過逆向工程分析 AirDrop 通訊協議,並自行開發專屬模糊測試(Fuzzing)工具,成功發現 Apple AirDrop 存在 3 個漏洞,以及 Google、Samsung Quick Share 的另外 3 個漏洞,合共涉及超過 50 億個裝置。研究指,跟 AirDrop 相關的 3 個漏洞均屬於認證前(Pre-authentication)漏洞,代表攻擊可在裝置尚未完成配對、亦未經使用者同意前發動,其中包括程式異常終止(Crash)、無限遞迴(Unbounded Recursion)及空指標引用(NULL Pointer Dereference)等問題,足以令 AirDrop 功能失效,又或者令 AirPlay、Handoff、通用剪貼簿(Universal Clipboard)及接續互通相機(Continuity Camera)可能受到波及。

黑客如何發動攻擊?

研究有提,策動 AirDrop 攻擊門檻並不高,只需配備有 Wi-Fi 連接的手提電腦,並身處目標裝置約 10m 至 30m 的無線通訊範圍內,即有機會發動攻擊,過程中無需配對、交換聯絡人或共享網路。若受害裝置的 AirDrop 是設定為向所有人開放(Everyone for 10 minutes),AirDrop 在顯示接收提示前,系統便會先處理部分通訊封包,而漏洞正是在這個階段被利用。之不過研究團隊亦提,目前公開的內容並未涉及可直接取得裝置控制權或竊取資料的攻擊方式,而是集中於服務癱瘓及通訊干擾。

3 大漏洞的影響是?…

現時 AirDrop 存在的 3 個漏洞是可 crash 背景服務,造成拒絕服務 DoS 攻擊。如攻擊者持續每隔數秒重複發送封包,相關服務便會一直維持至無法使用的狀態,直至攻擊停止。值得留意的是,以上公開的 AirDrop 漏洞並不能直接竊取用戶檔案、照片或聊天內容。研究主要顯示攻擊者可令服務失效,而並非讀取資料,因此家不用過份憂慮。只是由於漏洞是發生於認證前階段,研究團隊認為這類近場通訊協議本身就具有較大的攻擊面,因此認為 Apple 需要 keep 住修補漏洞及持續改善。

Apple 表明緊急修復中

研究團隊表示,現時已按照負責任披露(Responsible Disclosure)程序,預先將漏洞通報 Apple。Apple 方面都確認其中 1 個 AirDrop 漏洞已修補完成,並分配 CVE 編號。至於其餘兩個漏洞目前仍處於協調披露(Coordinated Disclosure)階段,因此品牌正繼續開發修復方案。

用家先行自保的 4 個方法

因應 Apple 現時尚未完成修補以上 3 個 AirDrop 漏洞,所以用家如為擔心存於 iPhone 等 Apple 裝置的個人資料會被外洩的話,不妨備定以下 4 個方法自保。

  1. 如不用 AirDrop 時可暫時關閉。
  2. 將 AirDrop 接收設定改為只限聯絡人 Contacts Only,避免裝置向所有陌生裝置回應初始通訊要求。
  3. 盡快將 iPhone、iPad 及 Mac 等 Apple 裝置更新至最新版本
  4. 避免隨意接受陌生人的 AirDrop 傳送請求。

【熱門報道】

【精選消息】

 

Source: HelpNetSecurity, 9to5Mac

相關文章

Page 1 of 9