专栏首页FreeBufiPhone蓝牙流量被指在某些情况下泄露用户电话号码

iPhone蓝牙流量被指在某些情况下泄露用户电话号码

安全研究员表示他们能够在某些操作中从iPhone 智能手机的蓝牙流量中提取用户的手机号码。

该攻击起作用的地方在于,当启动苹果设备上的蓝牙时,设备在全方位发送 BLE(蓝牙低功耗)数据包,广播设备的位置和多种详情。

这种行为是苹果无线直连 (AWDL) 协议的部分行为,该协议可通过 WiFi 或 BLE 互联并允许数据在附近的设备之间进行传输。

此前的学术研究工作指出,AWDL BLE 流量中包含设备识别详情如电话状态、WiFi 状态、OS 版本、缓冲区可用性等。

然而,Hexway公司的安全研究员指出,在某些操作下,这些 BLE 数据包也能够包含设备电话号码的某个 SHA256 哈希。

由于电话号码的格式相当严格,因此攻击者可使用预先计算的哈希表来恢复电话号码的其余部分。

Hexway 公司表示,当用户使用 AirDrop 和其它用户分享文件时、当用户电话尝试分享 WiFi 密码时、或当联系人要求用户共享 WiFi 密码时,包含电话号码哈希的 BLE 流量可遭恶意人员捕获。

Hexway 公司的安全研究员 Dmitry Chastuhin 表示,“我们的研究结果表明不仅可能在使用 AirDrop 时而且在使用其它函数如 WiFi 网络连接时都有可能提取电话号码。”

适用于针对性攻击,易实施

在过去几年中,人人都知晓大的零售链使用电话的 WiFi 信号追踪商店内客户的行踪和购物习惯。绑定每台设备和真实的电话号码将大大提高店内跟踪效率。但除非用户开始在店内共享文件和 WiFi 密码,那么 Hexway 公司的研究成果并不会对用户隐私造成直接伤害,至少在大规模的追踪场景中如此。

尽管如此,在其它情况下却不可忽视或淡化这些问题。

Chastuhin 表示,可通过多种方法利用该问题。这些方法多数围绕社会工程,并且在特定情况下一次针对一名个人的针对性攻击中可能非常成功。

Chastuhin 表示,“有人可以参加任何会议(从道德黑客活动到政府圆桌会议不一而足)并且收集关于与会人员的信息。”

另外,从技术层面来讲也很容易执行此类攻击。而 Chastuhin已经在 GitHub 上发布了能够自动化该进程的工具。

研究人员指出,“这些工具易于使用。你所需的不过是拥有笔记本电脑的一名人员、滥用、WiFi 适配器以及足够多人使用启用了 BLE 的苹果设备。”

Chastuhin 表示,工具存在一种副作用是它可被用于“发现使用 AirPods 在考试中作弊的学生,并且发现通过 AirDrop 发布滥用内容的人们”,而这两种做法在当今社会中相当常见。

本文分享自微信公众号 - FreeBuf(freebuf),作者:代码卫士

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【漏洞预警】GitLab曝高危漏洞,可致private token等敏感信息泄露

    GitLab于昨日发布了8.17.4、8.16.8和8.15.8版本(社区版和企业版),修复多个高危漏洞,包含一个针对关键信息泄露漏洞的更新补丁,针对SSRF攻...

    FB客服
  • 解锁FaceBook隐藏好友和朋友圈

    最近,国外的开源情报(OSINT)爱好者分享了一篇帖子,查找朋友不可见的facebook用户的朋友圈,这篇帖子也在我们的知识星球(开源网络空间情报)中第一时间分...

    FB客服
  • 如何写一个你自己的Web集群式渗透系统

    一个功能完善可以自定义的渗透系统可以帮助你省下很多的时间来思考目标站点的弱点,本文章就是教你怎么搭建一个Web入口的集群式渗透系统。 0×00 介绍 不知道大...

    FB客服
  • 网站评论系统的开源插件的使用

    当你在做一个网站的同时,你可能会为网站做一些可以互动的环节。在SNS越来越重要的这个时代,像腾讯,新浪,阿里等等都争着做社交化元素。同样的如果一个网站缺少社交模...

    业余草
  • KEGG Genome 数据库

    kegg Genome 由organisms,selected viruses 和 Metagenomes 3个数据库构成。

    生信修炼手册
  • 数据产品经理的硬核能力:用户画像带动用户增长

    如何通过数据清晰现有用户的画像,找到各个行业用户的核心关注点,来进行精细化的运营以提升用户的复购?如何将数据清晰梳理,整理出可以实际指导业务的指标呢?

    1480
  • 仅需少量视频观看记录,就可以精准推断你的习惯

    ? 本文转载自机器之心 仅从一个人的抖音、快手、腾讯视频的观看记录里,我们能发现什么?这篇被信息检索领域顶级国际会议 SIGIR 接受为长文章的论文可以告诉你...

    腾讯技术工程官方号
  • 仅需少量视频观看数据,即可精准推断用户习惯:腾讯、谷歌、中科大团队提出迁移学习架构PeterRec

    推导迁移学习对计算机视觉和 NLP 领域产生了重大影响,但尚未在推荐系统广泛使用。虽然大量的研究根据建模的用户-物品交互序列生成推荐,但很少有研究尝试表征和迁移...

    机器之心
  • 不要在问Linux优化从何入手了,好好看看

    作为一个程序员,性能优化是无法避开的事情,不管是桌面应用还是web应用,不管是前端还是后端,不管是单点应用还是分布式系统,并且性能优化也是软件系统中最有挑战的工...

    用户1634449
  • ASP.NET Core 开启后台任务

    本文告诉大家如何通过 Microsoft.Extensions.Hosting.BackgroundService 开启后台任务

    林德熙

扫码关注云+社区

领取腾讯云代金券