iPhone藍牙流量泄露手機號碼等重要信息

如果你的蘋果設備藍牙是開啟的狀態，那麼附近的所有人都可以獲取你的設備狀態，觀看設備名、WiFi狀態、操作系統版本、電池信息，甚至可以獲取你的手機號。

簡介

Apple設備以互聯生態而著稱：即在一個設備上使用一個APP後可以再另一個設備上可以繼續使用該APP。同時可以再離線的情況下訪問你的文件。這好像與蘋果的「What happens on your iPhone, stays on your iPhone」策略是相悖的，但是嗎？

首先看一下蘋果的隱私策略是如何工作的。

Wireless. Wireless everywhere.

如果你想與朋友分享照片，iPhone是如何知道它設備是否在你附近呢？你的MacBook是怎麼知道你的手機上運行的Safari呢？答案很簡單，就是藍牙和WiFi。蘋果設備經常會通過Bluetooth LE來發送大量的數據包。即使你當前沒有使用使用iPhone，通信也會發生。

本研究中分析如何監聽Bluetooth LE頻率來分析獲取的數據。

Nearby

設想這樣一個攻擊場景。如果攻擊者和你處於同一地鐵車廂中會發生什麼呢？前面已經說了iPhone會通過BLE發送大量數據。其中就包括手機狀態、WiFi狀態、操作系統版本等。MacBook, Apple Watch和AirPods都一樣會發送。

Demo：

AirDrop

AirDrop是一種允許APPLE用戶在沒有互聯網訪問的情況下進行文件分享的技術。因為沒有註冊，該服務是匿名和安全的。之前已經有過報道稱，在乘坐地鐵時會收到未經同意的內容，還有95後用AirDrop來作弊。

AirDrop並沒有我們想像地那樣匿名。因此可能會識別出來你：每當你按下share時，你的手機會發送你手機號的SHA256哈希值到你周圍的所有設備。

那攻擊者可以做什麼呢？

1.創建一個該區域的HA256(phone_number):phone_number資料庫，比如洛杉磯是( 1-213-xxx-xxxx, 1-310-xxx-xxxx, 1-323-xxx-xxxx, 1-424-xxx-xxxx, 1-562-xxx-xxxx, 1-626-xxx-xxxx, 1-747-xxx-xxxx, 1-818-xxx-xxxx, 1-818-xxx-xxxx)

2.在筆記本上運行特殊的腳本並乘坐地鐵

3.當有人使用AirDrop時，獲取發送者手機號的哈希值

4.根據哈希值恢復出手機號

5.通過iMessage聯繫用戶，可以通過TrueCaller或設備名獲取名字，比如一般的設備名中都含有名字，如John』s iPhone

Demo：

Wi-Fi密碼分享

Apple設備還有一個功能就是用戶可以分享WiFi密碼。只需要從列表中選擇一個網路，然後你的設備就開始發送BLE請求到哪些請求密碼的設備上。你的朋友怎麼知道請求密碼的人就是你呢？因為寬頻BLE請求中含有你的數據，包括手機號的SHA256哈希、AppleID和郵箱。雖然只發送哈希值的前3個位元組，但足以識別出你的手機號。

Demo：

雙向的

iPhone不僅僅會發送BLE請求，還會接收大量的BLE請求。因此攻擊者可以將他們偽裝成特定的設備。比如，偽裝成AirPods或你朋友的iPhone來獲取企業WiFi的密碼。

如何應對？

這看起來更像是蘋果生態系統的特徵而非漏洞。研究人員檢測發現從iOS 10.3.1版本開始都存在這些的特徵。目前唯一能做的就是關上藍牙。研究人員還發現iPhone 6s之前的老設備即使更新了系統也不會持續發送BLE消息，而是只發送一定數量的消息，比如WiFi設置菜單等，研究人員猜測蘋果這麼做的原因可能是為了節省電池。

PoCs

PoC腳本和視頻參見：https://github.com/hexway/apple_bleee

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！