This $70 Device Can Spoof an Apple Device and Trick You into Sharing Your Password
Introduction
最近,在全球最大的駭客大會之一 Def Con 上,一個名為 Jae Bochs 的安全研究人員使用價值 70 美元的裝置成功偽造蘋果裝置,欺騙使用者分享他們的密碼。這一事件不僅引起與會者的困惑和擔憂,也暴露出蘋果裝置的藍芽低功耗(BLE)協議存在的問題。
The Experiment
根據報導,Jae Bochs 使用了一個由 Raspberry Pi Zero 2 W、兩個天線、一個 Linux 相容的藍芽介面卡和一個可攜式電池組成的裝置。這個裝置價值約 70 美元,有效範圍為 50 英尺(約 15 米)。Jae Bochs 解釋說,蘋果的 BLE 協議允許蘋果裝置相互通訊。他們專注於“接近操作”,當蘋果裝置靠近彼此時,在 iPhone 螢幕上會出現這些操作提示。他們使用自製裝置發出與蘋果裝置相似的廣告封包,對附近裝置進行欺騙,觸發這些彈窗。
The Risks
儘管 Jae Bochs 的裝置並未設計用於從附近的 iPhone 上收集任何資料,但理論上,他們可以收集一些敏感訊息,例如手機號碼、蘋果 ID 電子郵件和當前 Wi-Fi 網路。根據他們在 2019 年的一篇學術論文中指出的研究,蘋果的 BLE 協議存在“幾個漏洞”,這些漏洞會將裝置和行為資料泄漏給附近的竊聽者。雖然每個漏洞泄漏的訊息很少,但總體上它們可以用來識別和追蹤裝置長時間的使用情況。
Apple's Response
在 Jae Bochs 的觀察中,他們認為蘋果不會對此採取任何行動。他們表示:“這些都是有意設計的,以便手錶和耳機能繼續與藍芽存取。”然而他們建議蘋果可以在控制中心的藍芽圖示上新增警告訊息,提示使用者點選圖示不能完全關閉藍芽,而他們的 iPhone 仍然可以與接近觸發的信標進行互動。根據 Jae Bochs 的建議,關閉設定中的藍芽功能可以使 iPhone 使用者免受這類裝置的影響。
Conclusion
這一事件再次凸顯了蘋果裝置的安全性問題,尤其是藍芽低功耗協議的漏洞。儘管 Jae Bochs 的實驗並未對使用者造成實際威脅,但這種技術可能被不法分子濫用。作為蘋果裝置的使用者,我們應該保持警惕,並遵循安全建議,如在設定中關閉藍芽功能。此外我們也應該時刻關注蘋果的安全更新,並及時安裝以保護個人訊息的安全。
Source:
- Article Link: [TechCrunch](https://techcrunch.com/2023/08/10/this-70-device-can-spoof-an-apple-device-and-trick-you-into-sharing-your-password/)
延伸閱讀
- 微軟報告:850 萬臺 Windows 裝置遭 CrowdStrike 故障影響!
- iOS 18 相容的所有裝置一覽
- 蘋果強調裝置耐用性,並將自助維修延伸至歐洲
- 馬斯克威脅禁止蘋果裝置:焦點直擊蘋果與 ChatGPT 整合
- 蘋果智慧功能將登陸 iPhone 15 Pro 和搭載 M1 或更新晶片的裝置
- 蘋果裝置即將透過衛星傳送簡訊
- 蘋果最新的 iPad Pro 成為首款搭載 M4 晶片的裝置
- Postmates 創辦人推出新應用程式 TipTop:現在可透過以舊換新及現金購買裝置
- 三星自行維修計畫現已涵蓋 50 項裝置,包括可折疊手機
- CES 2024:拉斯維加斯最古怪的科技、小工具和人工智慧裝置
