今天小編分享的科技經驗:iPhone用户在地鐵遭遇“性騷擾”,蘋果AirDrop急需刮骨療傷?,歡迎閲讀。
不知道各位 iPhone 用户平常有使用 AirDrop 的習慣嗎?
作為 Apple 生态最重要的無線互傳技術,AirDrop 自 2011 年在 WWDC 中亮相就吸引了不少用户和同行的關注。用户關注 AirDrop 的原因很「理所當然」:Apple 嚴格限制了自己設備藍牙發送檔案的功能,并不允許用户直接通過藍牙發送圖片,AirDrop 是 Apple 用户唯一無線互傳檔案的方式。而來自同行的目光也非常好理解:
Android 陣營在 2011 年拿出的無線互傳方案名為 Android Beam,具體來説是一項利用 NFC 進行快速配對、具體利用藍牙發送檔案的無線傳輸方案。相比于 AirDrop,NFC 的配對方案确實更加準确,但 Airdrop 配對後可以利用穩定的 Wi-Fi 或 Wi-Fi 直連技術進行高速的檔案傳輸,這對利用藍牙通道發送檔案的 Android Beam 來説算得上是「降維打擊」。
圖片來源:Apple
但就和其他技術一樣,像 AirDrop 這種原本以方便用户為目的的無線傳輸技術,也有被濫用的一天。比如已經被全球媒體多次提及的「AirDrop 騷擾」現象。
2023 年 5 月,杭州一位 iPhone 用户就在地鐵中收到了他人發送的騷擾圖片。盡管該用户拒絕接收圖片,但這位「神秘人」并未就此放棄,并繼續用 AirDrop 向該 iPhone 發送圖片邀請。
據相關媒體的説法,這位不知名的「發送者」利用 AirDrop 發送不雅圖片的行為,其實已經觸犯了《治安管理處罰法》,但因 AirDrop 屬于本地檔案傳輸,排查發送者的難度較大,所以事情最後只能不了了之。
事實上利用 AirDrop 騷擾他人的現象并非個例,除了上文提到的 AirDrop 圖片性騷擾外,部分商家也曾利用 AirDrop 群發圖片的方式向地鐵乘客群發「廣告傳單」。甚至連坐在小雷身邊的同事,在上班時也曾收到過不明人士發來的「不要摸魚」的圖片。
作為技術的推廣者,Apple 當然也明白這些 AirDrop 的陰暗面。所以在 iOS 16.1.1 和 iOS 16.2 Beta2 中,Apple 已經為國行 iPhone 的 AirDrop 機制做出了修改,用「向所有人開放 10 分鍾」的選項替換掉了原本的「向所有人開放」。在這一改動下,即使你手動将 AirDrop 範圍設定成所有人,在 10 分鍾後 AirDrop 也會自動關閉。
由于該功能廣受好評,Apple 最後也将該改動向全球 iPhone 用户推送。只不過這能改變 AirDrop 這項誕生于 12 年前的技術的局限性嗎?
很顯然不能。
盡管 Apple 嘗試從 AirDrop 權限入手解決濫用 AirDrop 的問題,但考慮到并不是所有 iPhone 用户都有更新到最新系統的習慣,至今仍有大量用户選擇不安裝任何系統更新,用出廠系統防止手機變卡,很顯然 AirDrop 的更新與他們無緣。
其次,10 分鍾的 AirDrop 公開權限本身也解決不了 AirDrop 被濫用的問題。假如我是一個用 AirDrop 發廣告的商家,AirDrop 權限只能讓接收信息的人變少,但只要有人還開着 AirDrop,我就能把廣告塞到他手機裏。換句話説,AirDrop 濫用這一現象的根本原因并不在别人能不能看到你,而是别人給「隔空投遞」之前,需不需要經過你的同意。
繼續以剛剛地鐵的案例為例,Apple 給出的解決方案是為 AirDrop 增加定時關閉功能。但如果你确實需要在地鐵上通過 AirDrop 接收他人的檔案,比如讓「朋友的朋友」把剛剛聚會的合照發給你,依舊需要打開公開 AirDrop。
換句話説,Apple 不應該以限制 AirDrop 的方式來給當時不周全的決策收場。此外,AirDrop 這行技術本身也曾被爆出過安全隐患。
2020 年,Google 的研究員就曾曝光 Apple 設備的重大安全隐患:AirDrop 功能離不開 Apple 使用的 AWDL(Apple Wireless Direct Link、Apple 無線直連)協定。該協定是 Apple 在 2014 年推出的專屬網絡協定,Apple 設備可以利用該協定臨時組成點對點的網狀網絡,在彼此之間直接訪問。
在技術上,AWDL 并不需要确認所有設備都在相同的 Wi-Fi 環境下,且當時的 AWDL 并不采用加密設計。黑客甚至可以利用 AWDL 作為攻擊入口,并利用 AWDL 緩衝的 Bug 實現内核訪問并獲取 Root 權限,從而悄悄獲取被黑入設備的照片和信息。
圖片來源:Google Project Zero
從形式上看,AWDL 攻擊和過去黑客利用 Thunderbolt 3 直接訪問内存特性入侵電腦的方式有些類似,但不同于 Thunderbolt 攻擊,AWDL 攻擊不需要将黑入工具插到目标電腦上,只需要通過無線訪問就能發起攻擊。
當然了,Apple 早已對 AWDL 漏洞做出了修復。但在「新三年、舊三年、縫縫補補又三年」的 AirDrop 背後還藏着多少個未被公眾知曉的「零日漏洞」呢?沒有人能給出答案。
與其想辦法給 AirDrop 找補,Apple 其實更應該找到 AirDrop 的替代方案,或者説 AirDrop 2.0。
雖然説濫用 AirDrop 的用户在全球 iPhone 用户中是少數,但 AirDrop 只不過是外界濫用 Apple 封閉生态的其中一個縮影。AirDrop 騷擾、iMessage 騷擾、日歷邀請騷擾、家庭邀請騷擾甚至是完全沒有意義的 AirPods 耳機連接騷擾,利用 Apple 生态特性幹擾其他用户正常使用的情況随處可見。
與其針對各個問題推出專項補丁,Apple 其實更應該對自己封閉生态内的亂象作出更積極的改變。Apple 既然利用自己封閉生态構建了獨一無二的生态優勢,那自然也應負起監管的責任。總不能在限制功能時説自己不是 Android 系統,但在需要承擔監管責任時卻學習 Android 将問題推到第三方頭上。
小雷希望看到更安全的 AirDrop 2.0 替換掉這個百孔千瘡的 AirDrop 1.0。AirDrop 确實好用,但是時候做出改變了。