环球讯息:AirDrop成了“性骚扰”利器,如何防?
来源:雷科技数码3C组|编辑:一位天明| 排版:大月亮
【资料图】
不知道各位iPhone用户平常有使用AirDrop的习惯吗?
作为Apple生态最重要的无线互传技术,AirDrop自2011年在WWDC中亮相就吸引了不少用户和同行的关注。用户关注AirDrop的原因很「理所当然」:Apple严格限制了自己设备蓝牙发送文件的功能,并不允许用户直接通过蓝牙发送图片,AirDrop是Apple用户唯一无线互传文件的方式。而来自同行的目光也非常好理解:
Android阵营在2011年拿出的无线互传方案名为Android Beam,具体来说是一项利用NFC进行快速配对、具体利用蓝牙发送文件的无线传输方案。相比于AirDrop,NFC的配对方案确实更加准确,但Airdrop配对后可以利用稳定的Wi-Fi或Wi-Fi直连技术进行高速的文件传输,这对利用蓝牙通道发送文件的Android Beam来说算得上是「降维打击」。
图片来源:Apple
但就和其他技术一样,像AirDrop这种原本以方便用户为目的的无线传输技术,也有被滥用的一天。比如已经被全球媒体多次提及的「AirDrop骚扰」现象。
2023年5月,杭州一位iPhone用户就在地铁中收到了他人发送的骚扰图片。尽管该用户拒绝接收图片,但这位「神秘人」并未就此放弃,并继续用AirDrop向该iPhone发送图片邀请。
据相关媒体的说法,这位不知名的「发送者」利用AirDrop发送不雅图片的行为,其实已经触犯了《治安管理处罚法》,但因AirDrop属于本地文件传输,排查发送者的难度较大,所以事情最后只能不了了之。
事实上利用AirDrop骚扰他人的现象并非个例,除了上文提到的AirDrop图片性骚扰外,部分商家也曾利用AirDrop群发图片的方式向地铁乘客群发「广告传单」。甚至连坐在小雷身边的同事,在上班时也曾收到过不明人士发来的「不要摸鱼」的图片。
图片来源:Apple
作为技术的推广者,Apple当然也明白这些AirDrop的阴暗面。所以在iOS 16.1.1和iOS 16.2 Beta2中,Apple已经为国行iPhone的AirDrop机制做出了修改,用「向所有人开放10分钟」的选项替换掉了原本的「向所有人开放」。在这一改动下,即使你手动将AirDrop范围设置成所有人,在10分钟后AirDrop也会自动关闭。
由于该功能广受好评,Apple最后也将该改动向全球iPhone用户推送。只不过这能改变AirDrop这项诞生于12年前的技术的局限性吗?
很显然不能。
AirDrop的阴暗面
尽管Apple尝试从AirDrop权限入手解决滥用AirDrop的问题,但考虑到并不是所有iPhone用户都有升级到最新系统的习惯,至今仍有大量用户选择不安装任何系统更新,用出厂系统防止手机变卡,很显然AirDrop的更新与他们无缘。
其次,10分钟的AirDrop公开权限本身也解决不了AirDrop被滥用的问题。假如我是一个用AirDrop发广告的商家,AirDrop权限只能让接收信息的人变少,但只要有人还开着AirDrop,我就能把广告塞到他手机里。换句话说,AirDrop滥用这一现象的根本原因并不在别人能不能看到你,而是别人给「隔空投递」之前,需不需要经过你的同意。
继续以刚刚地铁的案例为例,Apple给出的解决方案是为AirDrop增加定时关闭功能。但如果你确实需要在地铁上通过AirDrop接收他人的文件,比如让「朋友的朋友」把刚刚聚会的合照发给你,依旧需要打开公开AirDrop。
图片来源:Apple
换句话说,Apple不应该以限制AirDrop的方式来给当时不周全的决策收场。此外,AirDrop这行技术本身也曾被爆出过安全隐患。
2020年,Google的研究员就曾曝光Apple设备的重大安全隐患:AirDrop功能离不开Apple使用的AWDL(Apple Wireless Direct Link、Apple无线直连)协议。该协议是Apple在2014年推出的专属网络协议,Apple设备可以利用该协议临时组成点对点的网状网络,在彼此之间直接访问。
在技术上,AWDL并不需要确认所有设备都在相同的Wi-Fi环境下,且当时的AWDL并不采用加密设计。黑客甚至可以利用AWDL作为攻击入口,并利用AWDL缓冲的Bug实现内核访问并获取Root权限,从而悄悄获取被黑入设备的照片和信息。
图片来源:Google Project Zero
从形式上看,AWDL攻击和过去黑客利用Thunderbolt 3直接访问内存特性入侵电脑的方式有些类似,但不同于Thunderbolt攻击,AWDL攻击不需要将黑入工具插到目标电脑上,只需要通过无线访问就能发起攻击。
当然了,Apple早已对AWDL漏洞做出了修复。但在「新三年、旧三年、缝缝补补又三年」的AirDrop背后还藏着多少个未被公众知晓的「零日漏洞」呢?没有人能给出答案。
与其想办法给AirDrop找补,Apple其实更应该找到AirDrop的替代方案,或者说AirDrop 2.0。
Apple应该「以改代修」
虽然说滥用AirDrop的用户在全球iPhone用户中是少数,但AirDrop只不过是外界滥用Apple封闭生态的其中一个缩影。AirDrop骚扰、iMessage骚扰、日历邀请骚扰、家庭邀请骚扰甚至是完全没有意义的AirPods耳机连接骚扰,利用Apple生态特性干扰其他用户正常使用的情况随处可见。
与其针对各个问题推出专项补丁,Apple其实更应该对自己封闭生态内的乱象作出更积极的改变。Apple既然利用自己封闭生态构建了独一无二的生态优势,那自然也应负起监管的责任。总不能在限制功能时说自己不是Android系统,但在需要承担监管责任时却学习Android将问题推到第三方头上。
图片来源:Apple
小雷希望看到更安全的AirDrop 2.0替换掉这个百孔千疮的AirDrop 1.0。AirDrop确实好用,但是时候做出改变了。
End