令人惊讶的是，苹果居然未修复只需检查就能找到的 bug 。最近，德国达姆施塔特大学的研究人员对magic配对协议进行了研究，发现其三种实现模式IOS、Mac OS和rtkit之间存在着10个开放性缺陷，至今尚未得到解决。 　　苹果的蓝牙保护框架：magicpairing协议，在了解研究结果之前，让我们先了解magicpairing协议是什么。 　　Magic配对是苹果公司的专有协议，它可以提供无缝配对功能。例如，用户的airpod和所有的苹果设备都是通过苹果云服务的icloud同步密钥来实现的。 　　magicpair协议的最终目标是在单个设备和机场之间导出蓝牙链路密钥（LK）。为每个连接创建一个新的LK，这意味着可以有效地缩短该LK的生命周期。 　　当一个新的或重置的一对 Airpods 最初与苹果设备属于 iCloud 帐户，安全简单配对(SSP)被使用，所有后续连接到 iCloud 帐户的 Airpod 和设备将使用作为配对机制的 Magicpair 协议。MagicPair 包含多个键和派生函数。它依赖于综合初始化向量( SIV )模式下的高级加密标准( AES )进行认证加密。 　　Magic Pairing 的一般逻辑是可以集成到任何基于的物联网生态系统中，从而增加对整个安全社区的相关性。 　　尽管 MagicPairing 协议克服了蓝牙设备配对的两个缺点:即可扩展性差和易崩溃安全模型缺陷。（如果永久密钥 Link Layer 或 Long-Term Key 受陷则会崩溃。） 　　但研究人员使用名为 ToothPicker 的代码执行无线模糊测试和进程内模糊测试后发现了 8 个 MagicPairing 和 2 个 L2CAP 漏洞，它们可导致崩溃、CPU 过载且配对设备关联取消。据外媒报道，这些信息是在2019 年 10 月 30 日至 2020 年 3 月 13 日期间披露的，目前尚未确定。 “由于 MagicPair 用于配对和加密前，因此它提供了庞大的零点击无线攻击面。我们发现所有的有不同实施都有不同的问题，包括锁定攻击和可导致百分之百 CPU 负载的拒绝服务。我们在开展通用的无线测试和 iOS 进程内模糊测试时发现了这些问题。”研究人员说。 10 个 0day 漏洞一直未修复，苹果未予置评　　那么，这些漏洞本身的威胁来自哪里呢？首先是蓝牙堆栈本身的安全性。苹果的每个堆栈都是针对单个设备类型的，并且支持一个特性子集。因此，它们支持的协议有重复的实现。虽然这种情况有助于逆转这些协议，但它增加了苹果公司的维护成本。从安全的角度来看，这会导致在这些堆栈中出现双向安全问题。 　　 　　例如，RTKit 是一个单独的资源约束嵌入设备框架。用于苹果 AirPods 1、2和 Pro，Siri Remote 2，Apple Pencil 2 和 Smart Keyboard Folio 中，虽然这种分离用来减少功能是有意义的，但 iOS 和 MacOS 也有各自的蓝牙堆栈，由于它们是封闭的，而且只有很少的公开文档。但它在速度上是有限的，不提供覆盖。相比之下，iOS 进程中的模糊处理程序速度更快，不受连接重置的限制，但需要大量的平台专用接口调整。 　　也就是说，这三个蓝牙堆栈在实际实施中所面临的的攻击和 bug 也会不同。其次是，零点击无线攻击面大。 　　Magicpairing 的无线攻击面相当大。首先，它是在配对和加密之前使用的。通过逻辑链路控制和适配协议( L2CAP )提供的 MagicPairing Providesa 连接，用于蓝牙内部的各种数据传输；第二, 通过对 IOS、MacOS、RTKit 的实现，进一步扩大了 MagicPair 攻击面。 　　最后是代码居然有拼写错误问题。研究人员发现，苹果在 iOS 和 macOS 中的 MagicPairing 实现的日志信息和 macOS Bluetooth 守护进程 bluetoothd 函数名称中存在大量拼写错误。例如，棘轮和 upload 这两个单词在不同的时间被拼成了 diff。但研究人员认为，由于这些误读随堆栈的不同而不同，每个栈可能是由不同的开发人员实现的。虽然拼写错误和实现中的缺陷之间并不直接相关，但这让人认为代码并未仔细审查，开发工作很可能是外包完成的。 　　但总的来说，这些漏洞虽然存在，也并未修复，但影响不大，苹果也对此问题未予置评。