7月1日,来自CISPA亥姆霍兹信息安全中心的一篇最新研究论文,向全球超过50亿台智能手机用户发出安全警报——苹果隔空投送(AirDrop)与谷歌安卓快速分享(Quick Share)这两项日常使用极为流畅的近距离传输功能,竟被发现存在严重安全漏洞。

研究团队对这两个系统进行了深度剖析,发现它们为了实现近乎零延迟的文件传输体验,均在后台以高权限服务持续待命。一旦附近出现设备,服务立即被唤醒。然而隐患恰恰在于:在发送方身份验证尚未完成的阶段,这些后台进程已经暴露在攻击范围之内。
在苹果生态系统中,漏洞的入口正是指向负责控制AirDrop、AirPlay、Handoff、Universal Clipboard以及Continuity Camera的后台守护进程。令人惊讶的是,仅需一个格式异常的请求,就足以让整套系统瞬间崩溃。如果攻击者每隔数秒重复发送此类请求,相关功能将长期处于离线状态,直接演变为拒绝服务攻击。
而在安卓一侧,研究人员以三星Galaxy S23 Ultra手机与谷歌Windows客户端为测试对象,发现可以绕过关键认证步骤,并且Windows客户端本身还暴露出内存破坏漏洞。
对于普通用户而言,这些漏洞最直接的后果表现为拒绝服务——无法传输文件?没错。传输的可用性与连续性将受到显著影响。
好消息是修复工作已经展开。此次披露的3个隔空投送漏洞中,苹果已在近期更新中修复了1个;谷歌也为其Windows客户端发布了安全补丁。归根结底,这类问题的核心在于:无线传输的“无感”体验与安全边界之间,仍需寻求更精细的平衡。
