这个1500块钱的黑客工具,让全球地铁里的iPhone崩溃

//9to5mac.com/2023/11/19/flipper-zero-can-still-crash-iphones-running-the-latest-version-of-ios-17/
[2]。//arstechnica.com/security/2023/11/flipper-zero-gadget-that-doses-iphones-takes-once-esoteric-attacks-mainstream/
[4]。

坐在地铁里,拿出手机正准备浏览一下今天的新闻,手机突然弹出一个窗口:

 “附近的人请注意,我要开始欣赏音乐了!”|手机截图

附近一定又有其他 AirPods 用户打开了耳机盖,打算开始听歌了吧?但刚刚关闭这个窗口,它又跳了出来。接下来,这个窗口开始“狂轰滥炸”,让人都没有办法正常使用手机。

到底是谁啊!难道是在玩 AirPods 的盒子吗?一直开关个不停?

这其实是一场针对 iPhone 用户的“定点爆破”。

在地铁里,我“拥有”了Apple全家桶

用过 iPhone 的人,多少都被系统中的弹窗配对动画惊艳过。不论是买了苹果的新耳机还是新音箱,只要将 iPhone 靠近这些设备,手机就会弹出一个流畅的配对动画,引导用户对这些新设备进行设置。

在日后的使用中,这个弹窗也会出现。比如打开 AirPods 的充电盒时,自己的手机上就会出现弹窗,显示设备的电量信息。

弹窗也可能“误伤”别人。AirPods 使用的是蓝牙信号进行连接,附近其他人的 iPhone 如果打开了蓝牙,也会接收到弹窗的信号,而这时就会弹出上面这种离谱的窗口:“不是你的 AirPods”。

如果只是偶尔弹出,也没什么问题。但最近,越来越多 iPhone 用户在地铁里收到了“轰炸式”的弹窗。这些弹窗不仅有各式各样的苹果耳机,甚至还包含加入 Apple TV 的邀请……怎么,是有人带着苹果电视盒坐地铁吗?

地铁里的iPhone,正在“疯狂弹窗”。丨小红书

被苹果全家桶“问候”的背后,是一场无差别的恶意攻击。

公共场所里的蓝牙攻击

这些弹窗信号并不是来自真正的苹果设备,而是来自这个被称为 Flipper Zero 的小工具。

这个设备本身是一个供技术爱好者使用的多功能工具,它可以模拟无线电、RFID、NFC 等各类信号,并测试其他设备的通信功能。Flipper Zero 不仅可以用来当遥控器、复制门禁卡,也可以变成一个“黑客工具”:非法克隆车钥匙、发送蓝牙垃圾邮件,甚至是控制重要系统用的访问权限。

相比于 Flipper Zero 的测试功能,越来越多人开始把它当作“犯罪工具”来使用。2023年,购物网站亚马逊下架了 Flipper Zero ,并将其标记为“盗卡设备”。巴西、英国、美国等地的机场和海关也开始限制和查扣 Flipper Zero。

然而,这并没有阻断 Flipper Zero 的传播。

最近,全球各地出现了越来越多针对 iPhone 的攻击。攻击者可以在 Flipper Zero 上安装特定的固件,使它不断地向周围发出信号,从而让周边的 iPhone 疯狂弹窗。

安全人员 Techryptic 在博客上表示,苹果自家的生态系统几乎都是依靠低功耗蓝牙(BLE)技术进行连接,并通过广播台数据包确定附近设备的状态。这就有点像是设备拿个喇叭大喊“我在这”,附近所有监听的设备都可以获取。

攻击者正是利用了这个漏洞,使用 Flipper Zero 不断发送这些数据包,从而让周边待命的 iPhone 疯狂响应。

这种拒绝服务攻击(DoS)并不会盗取手机里的信息,攻击者的目的也很无聊:让你无法正常使用设备。不过,目前并不能排除攻击者会使用其他手段模仿官方的通知信息,以骗取用户输入隐私内容。

当下,国内的一些二手平台已经可以购买 Flipper Zero 了,很难说以后会不会有越来越多人遇到令人崩溃的弹窗。

咋办?关蓝牙

测试人员发现,苹果至今(iOS 17.2测试版)依然没有修复这个问题。而作为用户的我们,能采取的方法也很有限:关闭蓝牙。

需要在设置菜单里彻底关闭蓝牙。丨手机截图

攻击是通过蓝牙信号进行传输,所以在设置选项里彻底关闭蓝牙功能就可以直接阻断这些信号的干扰。但这也会影响其他依赖蓝牙工作的设备。

看来在苹果彻底修复这个漏洞之前,各位音乐精灵在通勤时还是备一根有线耳机吧。

PS:据说华强北的 AirPods 也会让别人的 iPhone 疯狂弹窗?可以说是遥遥领先了(狗头)

参考文献

[1] Flipper Zero can still crash iPhones running the latest version of iOS 17. https://9to5mac.com/2023/11/19/flipper-zero-can-still-crash-iphones-running-the-latest-version-of-ios-17/

[2] Flipper Zero. https://flipperzero.one/

[3] This tiny device is sending updated iPhones into a never-ending DoS loop. https://arstechnica.com/security/2023/11/flipper-zero-gadget-that-doses-iphones-takes-once-esoteric-attacks-mainstream/

[4] Airport seizes of Flipper Zero from passenger’s luggage over security concerns. https://www.dailydot.com/debug/gatwick-airport-seizes-flipper-zero/

[5] Annoying Apple Fans: The Flipper Zero Bluetooth Prank Revealed. https://techryptic.github.io/2023/09/01/Annoying-Apple-Fans/

本文来自微信公众号:果壳 (ID:Guokr42),作者:Owl

声明: 该内容为作者独立观点,不代表新零售资讯观点或立场,文章为网友投稿上传,版权归原作者所有,未经允许不得转载。 新零售资讯站仅提供信息存储服务,如发现文章、图片等侵权行为,侵权责任由作者本人承担。 如对本稿件有异议或投诉,请联系:wuchangxu@youzan.com
(0)
上一篇 2023年11月22日
下一篇 2023年11月22日

相关推荐

  • 水温80度:AI行业真假繁荣的临界点

    我们从来没拥有过这么成功的AI主导的产品。

    (这种分析统计并不那么准,但大致数量级是差不多的)

    这两个产品碰巧可以用来比较有两个原因:

    一个是它们在本质上是一种东西,只不过一个更通用,一个更垂直。

    蓝海的海峡

    未来成功的AI产品是什么样,大致形态已经比较清楚了,从智能音箱和Copilot这两个成功的AI产品上已经能看到足够的产品特征。

    未来科技 2024年6月5日
  • ChatGPT、Perplexity、Claude同时“罢工”,全网打工人都慌了

    美西时间午夜12点开始,陆续有用户发现自己的ChatGPT要么响应超时、要么没有对话框或提示流量过载,忽然无法正常工作了。

    因为发现AI用久了,导致现在“离了ChatGPT,大脑根本无法运转”。”

    等等,又不是只有一个聊天机器人,难道地球离了ChatGPT就不转了。

    大模型连崩原因猜想,谷歌躺赢流量激增6成

    GPT归位,人们的工作终于又恢复了秩序。

    未来科技 2024年6月5日
  • ChatGPT宕机8小时,谷歌Gemini搜索量激增60%

    ChatGPT一天宕机两次

    谷歌Gemini搜索量激增近60%

    ChatGPT在全球拥有约1.8亿活跃用户,已成为部分人群工作流程的关键部分。

    过去24小时内提交的关于OpenAI宕机的问题报告

    图片来源:Downdetector

    ChatGPT系统崩溃后,有网友在社交媒体X上发帖警告道:“ChatGPT最近发生的2.5小时全球中断,为我们所有依赖AI工具来支持业务的人敲响了警钟。

    未来科技 2024年6月5日
  • ChatGPT、Perplexity、Claude同时大崩溃,AI集体罢工让全网都慌了

    接着OpenAI也在官网更新了恢复服务公告,表示“我们经历了一次重大故障,影响了所有ChatGPT用户的所有计划。Generator调查显示,在ChatGPT首次故障后的四小时内,谷歌AI聊天机器人Gemini搜索量激增60%,达到327058次。

    而且研究团队表示,“Gemini”搜索量的增长与“ChatGPT故障”关键词的搜索趋势高度相关,显示出用户把Gemini视为ChatGPT的直接替代选项。

    未来科技 2024年6月5日
  • 深度对话苹果iPad团队:玻璃的传承与演变

    iPad最为原始的外观专利

    没错,这就是iPad最初被设想的样子:全面屏,圆角矩形,纤薄,就像一片掌心里的玻璃。

    2010年发布的初代iPad

    好在乔布斯的遗志,并未被iPad团队遗忘。

    初代iPad宣传片画面

    乔布斯赞同这一想法,于是快速将资源投入平板电脑项目,意欲打造一款与众不同的「上网本」,这就是iPad早年的产品定义。

    iPad进化的底色

    苹果发布会留下过很多「名场面」,初代iPad发布会的末尾就是一例。

    未来科技 2024年6月5日
  • 底层逻辑未通,影视业的AI革命正在褪色…

    GPT、Sora均为革命性产品,引发了舆论风暴,但它在上个月发布的“多模态语音对谈”Sky语音,却由于声音太像电影明星斯嘉丽·约翰逊,被正主强烈警告,被迫下架。

    华尔街日报也在唱衰,认为“AI工具创新步伐正在放缓,实用性有限,运行成本过高”:

    首先,互联网上已经没有更多额外的数据供人工智能模型收集、训练。

    03、

    如果说训练“数字人”、使用AI配音本质上瞄向的仍是影视行业固有的发展方向,那么还有另外一群人试图从根本上颠覆影视行业的生产逻辑和产品形态。

    但分歧点正在于此,电影公司希望通过使用AI技术来降低成本,但又不希望自己的内容被AI公司所窃取。

    未来科技 2024年6月5日
  • KAN会引起大模型的范式转变吗?

    “先变后加”代替“先加后变”的设计,使得KAN的每一个连接都相当于一个“小型网络”, 能实现更强的表达能力。

    KAN的主要贡献在于,在当前深度学习的背景下重新审视K氏表示定理,将上述创新网络泛化到任意宽度和深度,并以科学发现为目标进行了一系列实验,展示了其作为“AI+科学”基础模型的潜在作用。

    KAN与MLP的对照表:

    KAN使神经元之间的非线性转变更加细粒度和多样化。

    未来科技 2024年6月5日
  • 这个国家,也开始发芯片补贴了

    //mp.weixin.qq.com/s/tIHSNsqF6HRVe2mabgfp6Q
    [4]中国安防协会:欧盟批准430亿欧元芯片补贴计划:2030年产量占全球份额翻番.2023.4.19.https。//mp.weixin.qq.com/s/VnEjzKhmZbuBUFclzGFloA
    [6]潮电穿戴:印度半导体投资大跃进,一锤砸下1090亿,政府补贴一半.2024.3.5https。

    未来科技 2024年6月5日
  • 大模型的电力经济学:中国AI需要多少电力?

    这些报告研究对象(数字中心、智能数据中心、加密货币等)、研究市场(全球、中国与美国等)、研究周期(多数截至2030年)各不相同,但基本逻辑大同小异:先根据芯片等硬件的算力与功率,计算出数据中心的用电量,再根据算力增长的预期、芯片能效提升的预期,以及数据中心能效(PUE)提升的预期,来推测未来一段时间内智能数据中心的用电量增长情况。

    未来科技 2024年6月5日
  • 你正和20万人一起接受AI面试

    原本客户还担心候选人能否接受AI面试这件事,但在2020年以后,候选人进行AI面试的过程已经是完全自动化的,包括面试过程中AI面试官回答候选人的问题,AI面试官对候选人提问以及基于候选人的回答对候选人进行至多三个轮次的深度追问。

    以近屿智能与客户合作的校验周期至少3年来看,方小雷认为AI应用不太可能一下子爆发,包括近屿智能在内的中国AI应用企业或许要迎来一个把SaaS做起来的好机会。

    未来科技 2024年6月4日