This $70 Device Can Spoof an Apple Device and Trick You into Sharing Your Password
Introduction
最近,在全球最大的駭客大會之一 Def Con 上,一個名為 Jae Bochs 的安全研究人員使用價值 70 美元的裝置成功偽造蘋果裝置,欺騙使用者分享他們的密碼。這一事件不僅引起與會者的困惑和擔憂,也暴露出蘋果裝置的藍芽低功耗(BLE)協議存在的問題。The Experiment
根據報導,Jae Bochs 使用了一個由 Raspberry Pi Zero 2 W、兩個天線、一個 Linux 相容的藍芽介面卡和一個可攜式電池組成的裝置。這個裝置價值約 70 美元,有效範圍為 50 英尺(約 15 米)。Jae Bochs 解釋說,蘋果的 BLE 協議允許蘋果裝置相互通訊。他們專注於“接近操作”,當蘋果裝置靠近彼此時,在 iPhone 螢幕上會出現這些操作提示。他們使用自製裝置發出與蘋果裝置相似的廣告封包,對附近裝置進行欺騙,觸發這些彈窗。The Risks
儘管 Jae Bochs 的裝置並未設計用於從附近的 iPhone 上收集任何資料,但理論上,他們可以收集一些敏感訊息,例如手機號碼、蘋果 ID 電子郵件和當前 Wi-Fi 網路。根據他們在 2019 年的一篇學術論文中指出的研究,蘋果的 BLE 協議存在“幾個漏洞”,這些漏洞會將裝置和行為資料泄漏給附近的竊聽者。雖然每個漏洞泄漏的訊息很少,但總體上它們可以用來識別和追蹤裝置長時間的使用情況。Apple's Response
在 Jae Bochs 的觀察中,他們認為蘋果不會對此採取任何行動。他們表示:“這些都是有意設計的,以便手錶和耳機能繼續與藍芽存取。”然而他們建議蘋果可以在控制中心的藍芽圖示上新增警告訊息,提示使用者點選圖示不能完全關閉藍芽,而他們的 iPhone 仍然可以與接近觸發的信標進行互動。根據 Jae Bochs 的建議,關閉設定中的藍芽功能可以使 iPhone 使用者免受這類裝置的影響。Conclusion
這一事件再次凸顯了蘋果裝置的安全性問題,尤其是藍芽低功耗協議的漏洞。儘管 Jae Bochs 的實驗並未對使用者造成實際威脅,但這種技術可能被不法分子濫用。作為蘋果裝置的使用者,我們應該保持警惕,並遵循安全建議,如在設定中關閉藍芽功能。此外我們也應該時刻關注蘋果的安全更新,並及時安裝以保護個人訊息的安全。Source:
- Article Link: [TechCrunch](https://techcrunch.com/2023/08/10/this-70-device-can-spoof-an-apple-device-and-trick-you-into-sharing-your-password/)Security-價值 70 美元,裝置,偽造,蘋果裝置,迷惑,分享密碼