蘋果驚爆漏洞 你的iPhone恐遭攻擊劫持？

蘋果（Apple）的 AirPlay 功能廣受用戶喜愛，能讓音訊、影片或照片在 Apple 裝置之間無縫串流，但近期研究發現，這項便利功能可能也帶來資安風險。

根據雅虎新聞網報導，Oligo的研究人員發現，AirPlay 存在重大安全漏洞，駭客可在同一 Wi-Fi 網路環境下，劫持相容的裝置。AirPlay 協定也被廣泛整合於第三方設備中，例如智慧喇叭、智慧電視等，使得潛在受害範圍大幅擴大。

根據科技媒體Wired報導，研究人員共發現23項漏洞，統稱為「AirBorne」，這些問題存在於蘋果 AirPlay 協定本身以及第三方廠商所使用的 AirPlay 軟體開發工具包（SDK）中。

研究人員更於示範影片中，展示如何透過漏洞入侵同網路下的一台支援 AirPlay 的 Bose 喇叭，並執行遠端程式碼（RCE）攻擊，在喇叭螢幕上顯示「AirBorne」標誌。這證明駭客可透過類似方式入侵具備麥克風功能的設備，進一步進行間諜行為。

Oligo 技術長埃爾巴茲（Gal Elbaz）向Wired表示，受影響的裝置數量可能高達數百萬台。「支援 AirPlay 的設備類型非常多元，其中許多裝置需要數年才能完成修補，甚至可能永遠無法修補。」他指出，「這些問題源自一個軟體漏洞，卻可能波及所有設備。」

Oligo 已於去年秋冬向蘋果通報相關問題，並合作數月進行修補。研究成果於本周二正式公開。蘋果已於3月31日發布針對部分系統的修補更新，包括 iPadOS 18.4、macOS Ventura 13.7.5、macOS Sonoma 14.7.5、macOS Sequoia 15.4以及visionOS 2.4。

然而，使用 AirPlay 協定的第三方設備仍面臨風險。研究人員提醒，這些裝置的安全性仍仰賴製造商發布更新，並由用戶自行安裝，才能降低遭攻擊的風險。

蘋果向Wired表示，已為第三方設備開發修補程式，並強調由於漏洞本身具有限制性，實際攻擊存在門檻。然而研究團隊指出，支援 CarPlay 的系統也可能成為攻擊目標。只要駭客靠近裝置，且該裝置的 Wi-Fi 熱點密碼為預設、可預測或已知，就可能發動 RCE 攻擊。

如何保護你的設備？研究人員提供以下建議：

．立即更新設備軟體：所有支援 AirPlay 的設備應升級至最新版本，以降低安全風險。

．停用 AirPlay 接收功能：在不使用時，建議完全關閉 AirPlay 功能。

．僅與信任的設備連接：避免與來路不明的設備進行 AirPlay 串流。

．限制 AirPlay 存取設定：進入「設定 > AirPlay 與接續互通性（或 AirPlay 與接力）」，選擇「目前使用者」，以控管誰可使用此功能。

．避免在公共 Wi-Fi 環境中使用 AirPlay：公共網路環境下建議停用 AirPlay 功能，以防止駭客入侵。