便宜的蓝牙发射器可以做很多假动作 iPhone 通知

在 Def Con 2023 上,一些与会者实时看到了相对便宜的设备如何利用蓝牙的缺点来强制发送虚假通知,并可能诱骗用户泄露敏感数据。

通常,当您参加有关黑客设备和软件的会议时,您会看到各种现实世界的攻击,尽管是在特定的环境中。 正如今年一些参与者发现的那样,这也可能意味着个人数据随时面临风险。

最后一个例子是 Jae Bochs 整理的一个研究项目,展示了利用 Apple 自己使用的低功耗蓝牙 (BLE) 来尝试窥探用户信息是多么容易。 博克斯的项目有几个目的。 第一个目的是提醒人们,仅仅在控制中心禁用蓝牙是不够的。

第二个是当博赫斯走过会议、排队拜访供应商时只是笑。 然而,当他们停下来与某人聊天时,他们试图记住关闭设备。 因此 科技博客。

该设备是多个元素的组合,例如 Raspberry Pi Zero 2 W、 Linux- 兼容的蓝牙适配器、一对天线和一个外部电池。 据 Bochs 称,总而言之,它的成本约为 70 美元,这意味着相对便宜的设备可以快速造成一定程度的损坏 Apple 50 英尺内的设备。

这就是设备之间的通信发挥作用的地方 Apple 严重依赖其生态系统。 点击 BLE 可以让 iPhone 等设备在设定范围内相互通话,然后触发“接近操作”。

该设备会引发这些操作,以便在参加会议时,Bochs 可以向附近的 iPhone 发送提示,要求他们自动将密码输入到附近的 iPhone 中 Apple 电视。 尽管事实上没有任何 Apple 电视就在你身边。

幸运的是,Bochs 的设备并不是为了获取个人信息而设计的,即使有人出于某种原因点击了提示并输入了密码。 不过,他表示这种情况有可能发生。

“如果用户与提示进行交互,并且对方做出令人信服的响应,我认为您可以诱骗受害者提交密码。” 多年来一直存在一个问题,您可以检索电话号码能。 Apple 包裹中的 ID 电子邮件和当前 WiFi 网络。”

Apple 自 2019 年起就意识到了这个问题。但是,Bochs 并不期望该公司对此采取任何行动,因为有关此流程的信息很少,而且它是该流程的一个组成部分 Apple 生态系统作为一个整体。

博克斯建议 Apple 可以给用户更好的提示,让他们知道当他们点击控制中心的蓝牙图标时会发生什么。

如何保护自己免受此类攻击

这都是关于态势感知的。 出于安全原因,蓝牙并不是特别适合,但在这种特殊情况下,了解周围环境非常重要。

正如博克斯所说,这个特殊的时刻是值得欢笑的,因为它是 Apple 在黑客大会上,电视上要求输入密码。 这显然不是什么私人的事 Apple 因此,如果您在旅途中看到此内容或类似内容,显然不要输入您的密码。

然而,在现实世界中,可能会出现类似的提示,这意味着用户需要知道他们携带的个人设备,例如 AirTag 或一对 AirPods 专业的。 如果随机设备要求您输入密码,则完全忽略它会更安全,尤其是在您不知道密码的情况下。

提醒一下,完全关闭蓝牙或 Wi-Fi 的唯一方法是在“设置”应用程序中执行此操作。