今日播报!iPhone 用户在地铁遭遇“性骚扰”，苹果 AirDrop 急需刮骨疗伤？

不知道各位 iPhone 用户平常有使用 AirDrop 的习惯吗？

作为 Apple 生态最重要的无线互传技术，AirDrop 自 2011 年在 WWDC 中亮相就吸引了不少用户和同行的关注。用户关注 AirDrop 的原因很「理所当然」：Apple 严格限制了自己设备蓝牙发送文件的功能，并不允许用户直接通过蓝牙发送图片，AirDrop 是 Apple 用户唯一无线互传文件的方式。而来自同行的目光也非常好理解：

Android 阵营在 2011 年拿出的无线互传方案名为 Android Beam，具体来说是一项利用 NFC 进行快速配对、具体利用蓝牙发送文件的无线传输方案。相比于 AirDrop，NFC 的配对方案确实更加准确，但 Airdrop 配对后可以利用稳定的 Wi-Fi 或 Wi-Fi 直连技术进行高速的文件传输，这对利用蓝牙通道发送文件的 Android Beam 来说算得上是「降维打击」。

(相关资料图)

图片来源：Apple

但就和其他技术一样，像 AirDrop 这种原本以方便用户为目的的无线传输技术，也有被滥用的一天。比如已经被全球媒体多次提及的「AirDrop 骚扰」现象。

2023 年 5 月，杭州一位 iPhone 用户就在地铁中收到了他人发送的骚扰图片。尽管该用户拒绝接收图片，但这位「神秘人」并未就此放弃，并继续用 AirDrop 向该 iPhone 发送图片邀请。

据相关媒体的说法，这位不知名的「发送者」利用 AirDrop 发送不雅图片的行为，其实已经触犯了《治安管理处罚法》，但因 AirDrop 属于本地文件传输，排查发送者的难度较大，所以事情最后只能不了了之。

事实上利用 AirDrop 骚扰他人的现象并非个例，除了上文提到的 AirDrop 图片性骚扰外，部分商家也曾利用 AirDrop 群发图片的方式向地铁乘客群发「广告传单」。甚至连坐在小雷身边的同事，在上班时也曾收到过不明人士发来的「不要摸鱼」的图片。

作为技术的推广者，Apple 当然也明白这些 AirDrop 的阴暗面。所以在 iOS 16.1.1 和 iOS 16.2 Beta2 中，Apple 已经为国行 iPhone 的 AirDrop 机制做出了修改，用「向所有人开放 10 分钟」的选项替换掉了原本的「向所有人开放」。在这一改动下，即使你手动将 AirDrop 范围设置成所有人，在 10 分钟后 AirDrop 也会自动关闭。

由于该功能广受好评，Apple 最后也将该改动向全球 iPhone 用户推送。只不过这能改变 AirDrop 这项诞生于 12 年前的技术的局限性吗？

很显然不能。

尽管 Apple 尝试从 AirDrop 权限入手解决滥用 AirDrop 的问题，但考虑到并不是所有 iPhone 用户都有升级到最新系统的习惯，至今仍有大量用户选择不安装任何系统更新，用出厂系统防止手机变卡，很显然 AirDrop 的更新与他们无缘。

其次，10 分钟的 AirDrop 公开权限本身也解决不了 AirDrop 被滥用的问题。假如我是一个用 AirDrop 发广告的商家，AirDrop 权限只能让接收信息的人变少，但只要有人还开着 AirDrop，我就能把广告塞到他手机里。换句话说，AirDrop 滥用这一现象的根本原因并不在别人能不能看到你，而是别人给「隔空投递」之前，需不需要经过你的同意。

继续以刚刚地铁的案例为例，Apple 给出的解决方案是为 AirDrop 增加定时关闭功能。但如果你确实需要在地铁上通过 AirDrop 接收他人的文件，比如让「朋友的朋友」把刚刚聚会的合照发给你，依旧需要打开公开 AirDrop。

换句话说，Apple 不应该以限制 AirDrop 的方式来给当时不周全的决策收场。此外，AirDrop 这行技术本身也曾被爆出过安全隐患。

2020 年，Google 的研究员就曾曝光 Apple 设备的重大安全隐患：AirDrop 功能离不开 Apple 使用的 AWDL（Apple Wireless Direct Link、Apple 无线直连）协议。该协议是 Apple 在 2014 年推出的专属网络协议，Apple 设备可以利用该协议临时组成点对点的网状网络，在彼此之间直接访问。

在技术上，AWDL 并不需要确认所有设备都在相同的 Wi-Fi 环境下，且当时的 AWDL 并不采用加密设计。黑客甚至可以利用 AWDL 作为攻击入口，并利用 AWDL 缓冲的 Bug 实现内核访问并获取 Root 权限，从而悄悄获取被黑入设备的照片和信息。

图片来源：Google Project Zero

从形式上看，AWDL 攻击和过去黑客利用 Thunderbolt 3 直接访问内存特性入侵电脑的方式有些类似，但不同于 Thunderbolt 攻击，AWDL 攻击不需要将黑入工具插到目标电脑上，只需要通过无线访问就能发起攻击。

当然了，Apple 早已对 AWDL 漏洞做出了修复。但在「新三年、旧三年、缝缝补补又三年」的 AirDrop 背后还藏着多少个未被公众知晓的「零日漏洞」呢？没有人能给出答案。

与其想办法给 AirDrop 找补，Apple 其实更应该找到 AirDrop 的替代方案，或者说 AirDrop 2.0。

虽然说滥用 AirDrop 的用户在全球 iPhone 用户中是少数，但 AirDrop 只不过是外界滥用 Apple 封闭生态的其中一个缩影。AirDrop 骚扰、iMessage 骚扰、日历邀请骚扰、家庭邀请骚扰甚至是完全没有意义的 AirPods 耳机连接骚扰，利用 Apple 生态特性干扰其他用户正常使用的情况随处可见。

与其针对各个问题推出专项补丁，Apple 其实更应该对自己封闭生态内的乱象作出更积极的改变。Apple 既然利用自己封闭生态构建了独一无二的生态优势，那自然也应负起监管的责任。总不能在限制功能时说自己不是 Android 系统，但在需要承担监管责任时却学习 Android 将问题推到第三方头上。

小雷希望看到更安全的 AirDrop 2.0 替换掉这个百孔千疮的 AirDrop 1.0。AirDrop 确实好用，但是时候做出改变了。