AirDrop 具有一些便利,因为当接受方的手机与分享方是联系人关系,就会显示联系人的名称,所以为了确定潜在发件人的设备是否是联系人,AirDrop 的分享方实际上会广播自己的手机和电子邮箱的部分 SHA-256。
而电话号码中的熵非常小,导致这种 SHA-256 相对容易破解,所以 2021年9月 有研究人员设计了开源的 PrivateDrop,用来实现安全的联系人校验,但苹果公司未对此做出任何回应。
2022年2月24日,有团队发布了完整的破解方式以及 Python 程序 来快速破解,只要填写从日志中解析到的前后各 5 位 SHA-256 片段(共计 10 位),以及美国或者加拿大电话号码区号,很快就能找到结果,即使不知道区号,破解速度也不算太慢。
2022年9月23日,微信公众号「数据安全与取证」翻译了上述论文。2022年10月20日,盘古石发布了取证工具的微信公众号介绍文章。
封面图是 Python 软件破解部分 Hash 的效果演示。
ggame 条目
