iOS系统有一项特殊的设置,那就是蓝牙自启动,如果只在控制中心点击关闭蓝牙按钮,系统会提示你隔天将自动连接,即此时并不是真正关闭,而是进入了低功耗模式,要想真正关闭蓝牙功能,只能进到系统设置-蓝牙中手动关闭。这种蓝牙自动开启的设置一方面可以方便快速与其他设备配对,另一方面也可以快速实现文件共享、蓝牙定位等功能,但其也存在着一定的安全隐患。
近日,在Def Con 2023白帽大会上,白帽Jae Bochs就使用一款70美元的“蓝牙发射器”,利用苹果iOS的蓝牙弹窗,向参与大会的技术人员演示了“如何发送假通知以进行钓鱼”,盗取手机用户的设备密码。
Jae Bochs的演示设备
据了解,这款“蓝牙发射器”由树莓派、蓝牙适配器、几根天线和一块外置电池组成,设备成本约合人民币512元。大致的操作原理和华强北的“山寨AirPods”的“蓝牙弹窗”类似,都是通过掌握调用苹果iOS“蓝牙弹窗”的方法,从而实现自定义“弹窗内容”的行为。Jae Bochs利用苹果的蓝牙自启动提示,向参会人员发送一条自定义信息,再通过一些提示诱使他们分享了密码。
Jae Bochs声称,苹果公司从2019年开始就已经意识到了这个问题。不过苹果公司对此并没有采取任何措施,这主要是因为“苹果公司销售了大量AirPods耳机,如果更改相关协议,将会导致苹果公司付出巨额成本”。实际上苹果的这种设置方式是非常有风险的,因为很多人其实并没有注意到有这种蓝牙自启动的弹窗提醒,像EDN小编自己就经常根本不看手机弹窗的内容直接点击确定,更何况一些对手机不太了解的中老年人用户,更加容易被黑客攻击盗取信息。
苹果的各项服务需要用户长时间开启蓝牙功能无可厚非,但也应该给用户提供一种更安全、合理的设置方式,来保护用户的信息安全。
最前沿的电子设计资讯
