iPhone爆藍牙漏洞?憑簡易工具遙距入侵、一鍵即偷Apple ID/密碼

撰文:蔡浩騰
出版:更新:

iPhone爆藍牙漏洞?|iPhone 一直被認為保安性能較 Android 手機更好,但近日就有保安專家現身說法,指原來只需要簡單工具就可以對 iPhone 進行遙距入侵,一般用戶需要提高警覺了。

iPhone 藍牙存漏洞可遙距入侵

Def Con 是全球最大的電子網絡保安主題集會之一,每年均會吸引大批駭客到場進行交流,而在今年的會場中,有大量 iPhone 用家就在手機上收到一個彈出通知,詢問是否與場中的一部 Apple TV 裝置進行連結,而這原來是一位保安研究員Jae Bochs 精心設計的惡作劇,為的就是提醒人們 iPhone 上有一個重大的藍牙漏洞。

Def Con 的與會者不停收到一個來自「Apple TV」的連接通知(圖 Twitter)

據 Jae Bochs 所講,iPhone 上存在一個與低電耗藍牙(Bluetooth LE、BLE)有關的漏洞,只需要透過特定工具就可以偽裝成其他 Apple 裝置與 iPhone 進行對接,用戶一但答允連接,再輸入 Apple ID、密碼進行確認,這些機密資料就可以被入侵黑客收集,相當危險。

工具成本$550、要 Apple 出手方能確保安全?

Jae Bochs 手上用以入侵他人的工具,只是以 Raspberry Pi Zero 2 W、兩條天線、藍牙配接器和可攜式電池簡單組裝,成本只為 70 美元、換算為港幣不足$550,就可以在 15m 範圍之內進行遙距入侵,而除了 Apple TV 之外,該裝置理論上還可以偽裝成 AirTags、Apple Watch 等進行攻擊。

據悉此漏洞最早在 2019 年時已經有論文提及,但 Apple 似乎因為要顧及其他與 iPhone 以藍牙連接的設備如 AirTags 等,而一直未有封堵漏洞。

對於漏洞目前唯一有效的應對方法,就是將 iPhone 的藍牙完全關閉,此操作需要用戶進入設定頁內將藍牙關上(而非只開出通知中心再按一下藍牙開關),然而這對於會使用藍牙耳機、Apple Watch 等裝置的用戶構成不便,未必是長久之計。

當然,作為用戶,亦可以留意自己手機收到的無線連接要求,若果來源不明的話記緊要立即拒絕。