今日播報!iPhone 用戶在地鐵遭遇“性騷擾”，蘋果 AirDrop 急需刮骨療傷？

不知道各位 iPhone 用戶平常有使用 AirDrop 的習慣嗎？

作為 Apple 生態最重要的無線互傳技術，AirDrop 自 2011 年在 WWDC 中亮相就吸引了不少用戶和同行的關注。用戶關注 AirDrop 的原因很「理所當然」：Apple 嚴格限制了自己設備藍牙發送文件的功能，并不允許用戶直接通過藍牙發送圖片，AirDrop 是 Apple 用戶唯一無線互傳文件的方式。而來自同行的目光也非常好理解：

Android 陣營在 2011 年拿出的無線互傳方案名為 Android Beam，具體來說是一項利用 NFC 進行快速配對、具體利用藍牙發送文件的無線傳輸方案。相比于 AirDrop，NFC 的配對方案確實更加準確，但 Airdrop 配對后可以利用穩定的 Wi-Fi 或 Wi-Fi 直連技術進行高速的文件傳輸，這對利用藍牙通道發送文件的 Android Beam 來說算得上是「降維打擊」。

(相關資料圖)

圖片來源：Apple

但就和其他技術一樣，像 AirDrop 這種原本以方便用戶為目的的無線傳輸技術，也有被濫用的一天。比如已經被全球媒體多次提及的「AirDrop 騷擾」現象。

2023 年 5 月，杭州一位 iPhone 用戶就在地鐵中收到了他人發送的騷擾圖片。盡管該用戶拒絕接收圖片，但這位「神秘人」并未就此放棄，并繼續用 AirDrop 向該 iPhone 發送圖片邀請。

據相關媒體的說法，這位不知名的「發送者」利用 AirDrop 發送不雅圖片的行為，其實已經觸犯了《治安管理處罰法》，但因 AirDrop 屬于本地文件傳輸，排查發送者的難度較大，所以事情最后只能不了了之。

事實上利用 AirDrop 騷擾他人的現象并非個例，除了上文提到的 AirDrop 圖片性騷擾外，部分商家也曾利用 AirDrop 群發圖片的方式向地鐵乘客群發「廣告傳單」。甚至連坐在小雷身邊的同事，在上班時也曾收到過不明人士發來的「不要摸魚」的圖片。

作為技術的推廣者，Apple 當然也明白這些 AirDrop 的陰暗面。所以在 iOS 16.1.1 和 iOS 16.2 Beta2 中，Apple 已經為國行 iPhone 的 AirDrop 機制做出了修改，用「向所有人開放 10 分鐘」的選項替換掉了原本的「向所有人開放」。在這一改動下，即使你手動將 AirDrop 范圍設置成所有人，在 10 分鐘后 AirDrop 也會自動關閉。

由于該功能廣受好評，Apple 最后也將該改動向全球 iPhone 用戶推送。只不過這能改變 AirDrop 這項誕生于 12 年前的技術的局限性嗎？

很顯然不能。

盡管 Apple 嘗試從 AirDrop 權限入手解決濫用 AirDrop 的問題，但考慮到并不是所有 iPhone 用戶都有升級到最新系統的習慣，至今仍有大量用戶選擇不安裝任何系統更新，用出廠系統防止手機變卡，很顯然 AirDrop 的更新與他們無緣。

其次，10 分鐘的 AirDrop 公開權限本身也解決不了 AirDrop 被濫用的問題。假如我是一個用 AirDrop 發廣告的商家，AirDrop 權限只能讓接收信息的人變少，但只要有人還開著 AirDrop，我就能把廣告塞到他手機里。換句話說，AirDrop 濫用這一現象的根本原因并不在別人能不能看到你，而是別人給「隔空投遞」之前，需不需要經過你的同意。

繼續以剛剛地鐵的案例為例，Apple 給出的解決方案是為 AirDrop 增加定時關閉功能。但如果你確實需要在地鐵上通過 AirDrop 接收他人的文件，比如讓「朋友的朋友」把剛剛聚會的合照發給你，依舊需要打開公開 AirDrop。

換句話說，Apple 不應該以限制 AirDrop 的方式來給當時不周全的決策收場。此外，AirDrop 這行技術本身也曾被爆出過安全隱患。

2020 年，Google 的研究員就曾曝光 Apple 設備的重大安全隱患：AirDrop 功能離不開 Apple 使用的 AWDL（Apple Wireless Direct Link、Apple 無線直連）協議。該協議是 Apple 在 2014 年推出的專屬網絡協議，Apple 設備可以利用該協議臨時組成點對點的網狀網絡，在彼此之間直接訪問。

在技術上，AWDL 并不需要確認所有設備都在相同的 Wi-Fi 環境下，且當時的 AWDL 并不采用加密設計。黑客甚至可以利用 AWDL 作為攻擊入口，并利用 AWDL 緩沖的 Bug 實現內核訪問并獲取 Root 權限，從而悄悄獲取被黑入設備的照片和信息。

圖片來源：Google Project Zero

從形式上看，AWDL 攻擊和過去黑客利用 Thunderbolt 3 直接訪問內存特性入侵電腦的方式有些類似，但不同于 Thunderbolt 攻擊，AWDL 攻擊不需要將黑入工具插到目標電腦上，只需要通過無線訪問就能發起攻擊。

當然了，Apple 早已對 AWDL 漏洞做出了修復。但在「新三年、舊三年、縫縫補補又三年」的 AirDrop 背后還藏著多少個未被公眾知曉的「零日漏洞」呢？沒有人能給出答案。

與其想辦法給 AirDrop 找補，Apple 其實更應該找到 AirDrop 的替代方案，或者說 AirDrop 2.0。

雖然說濫用 AirDrop 的用戶在全球 iPhone 用戶中是少數，但 AirDrop 只不過是外界濫用 Apple 封閉生態的其中一個縮影。AirDrop 騷擾、iMessage 騷擾、日歷邀請騷擾、家庭邀請騷擾甚至是完全沒有意義的 AirPods 耳機連接騷擾，利用 Apple 生態特性干擾其他用戶正常使用的情況隨處可見。

與其針對各個問題推出專項補丁，Apple 其實更應該對自己封閉生態內的亂象作出更積極的改變。Apple 既然利用自己封閉生態構建了獨一無二的生態優勢，那自然也應負起監管的責任。總不能在限制功能時說自己不是 Android 系統，但在需要承擔監管責任時卻學習 Android 將問題推到第三方頭上。

小雷希望看到更安全的 AirDrop 2.0 替換掉這個百孔千瘡的 AirDrop 1.0。AirDrop 確實好用，但是時候做出改變了。