6月25日,CISPA亥姆霍兹信息安全中心公布了一项研究成果,结果令人不得不警惕:苹果的隔空投送(AirDrop)与安卓的快速分享(Quick Share)均存在安全漏洞,影响范围覆盖全球超过50亿部iPhone和安卓设备。这一数字,几乎等同于所有活跃智能手机的总量。
研究人员对这两套近距离无线传输系统进行了深入剖析,发现了一个共通的设计隐患——为了让传输流程尽可能无感,它们均以高权限的后台服务模式运行,一旦周边出现其他设备,便会立即被唤醒。可问题是,在发送方身份尚未完成验证之前,相关后台进程就已经暴露在攻击者面前了。这就像还没看清敲门的是谁,就把门打开了。
在苹果生态中,漏洞的利用点集中在控制AirDrop、AirPlay、Handoff、Universal Clipboard以及Continuity Camera的后台守护进程上。只需一个格式异常的请求,就能让整套系统崩溃。倘若攻击者每隔几秒重复发送同类请求,相关功能就会持续离线,形成拒绝服务状态——也就是说,你的隔空投送直接“罢工”了。

安卓这边情况类似。研究人员测试了三星Galaxy S23 Ultra手机与(G-G)Windows客户端,发现可以绕过关键的身份认证步骤,并且Windows客户端还存在内存破坏漏洞。这意味着攻击者不仅能让传输中断,还可能深入系统内部。

对普通用户来说,这些漏洞最直接的体现就是拒绝服务——你想传个文件,它却一直失败,或者传输过程中突然中断。虽然不一定直接导致数据泄露,但可用性与传输连续性会大打折扣,体验非常糟糕。

好在修复工作已经启动。本次披露的3个隔空投送漏洞中,苹果在近期的系统更新里已经修复了其中1个;(G-G)也为自家的Windows客户端发布了补丁。剩下两个漏洞何时修补,还需要继续关注。
附上参考地址
Protocol Prying: Systematic Vulnerability Research in the Apple AirDrop and Android Quick Share Proximity Transfer Protocols
