在上星期舉行的 Def Con 年度黑客大會,保安專家 Jae Bochs 示範他自行研發,由 Raspberry Pi 電腦、藍牙發射器、天線和流動電源等組成,價值約 70 美元的裝置,向會場內的 iPhone 用戶發送附近有 Apple TV 裝置,著他們連接 Apple ID 或輸入密碼的提示訊息。
Bochs 此舉主要是要提醒 iPhone 用戶,他認為 Apple 在藍牙 LE 服務方面一直存在漏洞,就算用戶嘗試將藍牙功能關閉,但只要用錯方法,藍牙 LE 仍然能夠保持對外通訊。Bochs 表示他研發的裝置同時可以用於不法用途,例如哄騙 iPhone 用戶提供密碼並將之儲存。值得注意的是 Apple 有在官網支援頁面作出提示,明顯地官方並不視之為漏洞。
這名保安專家指很多 iPhone 用戶只會透過控制中心,去將藍牙和 Wi-Fi 功能關閉,這樣做原來只是將 iPhone 與已連接的裝置,例如藍牙耳機等切斷連線,實際上藍牙服務仍然保持運作,Apple TV 等裝置以藍牙 LE 發送訊號,仍然能夠如上接收。Bochs 提到要真正將藍牙完全關上,必須要在設定頁面手動完成。
資料及圖片來源:techcrunch