(纽约3日讯)资安研究人员发现,苹果(Apple)AirPlay协议及AirPlay软件开发工具包(SDK)存在重大漏洞,可让攻击者在无需用户互动的情况下,远程接管苹果及第三方设备,包括智能电视、机顶盒、音响、CarPlay等。
专家建议,应尽快更新设备软件或完全停用相关功能。
据外媒报道,资安公司Oligo在最新报告中指出,他们发现了一组名为“AirBorne”的AirPlay漏洞,只要骇客与目标设备连在同一Wi-Fi网络,就能远程发送恶意代码。
这些漏洞可能被用于远程执行程序、访问控制列表、绕过用户互动限制、任意读取本地文件、泄露敏感信息、进行中间人攻击,甚至通过麦克风窃听对话。
AirPlay是苹果开发的一种无线通信协议,支持在兼容设备之间传输多媒体流、屏幕画面以及相关元数据。
不论是iPhone、iPad、Mac、HomePod还是Apple TV等苹果设备都支持AirPlay,而通过SDK支持AirPlay的第三方设备,则涵盖了多个品牌的智能电视与音响产品。
Oligo的技术长指出,全球使用AirPlay的设备数量庞大,其中一些设备甚至从未接收过漏洞补丁,一旦遭入侵,可能需要数年时间修复,甚至有的设备可能永远不会进行漏洞修补。
Oligo建议用户尽快升级到最新版本,并在不使用时直接禁用AirPlay接收器功能。此外,也可以通过设置防火墙规则,或将AirPlay权限设置为“仅限现有用户”以降低风险。
新闻来源:ETtoday
