• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:539

資安研究單位證實，透過低功率藍牙協定進行廣播連線的 Apple iPhone AirDrop 功能，可能洩漏包括手機門號在內的各種資訊。

據資安研究單位 Hexway 的報告指出，非常方便的 iPhone AirDrop 功能，可能洩露包括手機門號、電池容量、裝置名稱、無線網路連線狀況、iOS 版本號碼等資訊。

蘋果的 Mac 和 iPhone、iPad 等產品，有極為方便的「接續互通」功能，讓用戶可以簡單地透過無線方式傳送檔案，或在另一台設備上完成工作；這些功能係透過低功率藍牙和 Wi-Fi 無線連結完成，特別是低功率藍牙的廣播功能。

Hexway 分析 iPhone 發出的低功率藍牙資料封包，發現手機門號資訊係以 SHA256 進行加密傳送；然而駭客只要針對某一區域的所有手機門號預先以 SHA256 加密，得到一個對照表後，再用 iPhone 發出的門號 SHA256 雜湊值查表比對，即可找出你的門號。

Hexway 的報告中，也分析了運用 SHA256 查表法取得用戶 Wi-Fi 密碼或其他資訊的可能手法。