在 Def Con 2023 上,一些与会者实时看到了利用蓝牙缺陷的相对便宜的设备如何强制发送虚假通知,并可能让用户交出敏感数据。
参加专门讨论黑客设备和软件的会议通常意味着看到各种现实世界的攻击,尽管是在专门的环境中。正如一些与会者今年发现的那样,这也可能意味着个人数据随时可能被窃取。
例如,Jae Bochs 整理的一个研究项目表明,利用 Apple 自己的低功耗蓝牙 (BLE) 来尝试获取用户信息是多么容易。Bochs 的项目有几个目的,第一个目的是提醒人们,仅仅使用控制中心禁用蓝牙实际上并不能完成工作。
第二个是当博赫斯在会议中走来走去、排队并拜访供应商时,只是开怀大笑。不过,据 TechCrunch报道,如果他们停下来与某人聊天,他们确实会尝试记住关闭设备。
该设备由多个元件组合而成,例如 Raspberry Pi Zero 2 W、Linux 兼容的蓝牙适配器、一对天线和一个外部电池。Bochs 表示,总而言之,它的成本约为 70 美元,这意味着相对便宜的设备可能会很快对 50 英尺内的 Apple 设备造成一些特定的破坏。
这归结于设备之间的通信,目前苹果的生态系统严重依赖设备之间的通信。通过点击 BLE,iPhone 等设备在进入设定范围内时可以相互通信,然后提示“接近操作”。
设备会引发这些操作,因此当 Bochs 在会议中走动时,他能够向附近的 iPhone 发送提示,要求它们将密码自动填充到附近的Apple TV中。尽管事实上他们附近并没有苹果电视。