苹果FindMy网络可能会被滥用来窃取附近设备的数据
一份新的报告称,苹果的设备位置跟踪服务“查找我”可能被滥用来窃取附近设备的数据并将其传送到全球。网络安全公司Positive Security在一篇博客文章中提出了一种概念验证漏洞,称为“发送我”。该漏洞利用表明,可以操纵构建有“查找我”网络的低功耗蓝牙(BLE)广播,以传输少量的任意数据,甚至不需要互联网连接。
该帖子暗示,通过特殊的ESP32固件使微控制器变成可以接入设备网络的调制解调器,这种漏洞在理论上也可以用于冲洗移动数据计划。
Apple Find My网络依赖于众包信息系统而不是GPS来定位iOS,macOS和watchOS设备-现在,AirTag也是如此。
如果有人选择加入该计划,他们的设备将开始通过BLE与该地区的其他Apple技术进行通信。苹果产品的流通量意味着可以使用这些设备ping来准确绘制每个套件位置的地图。
但是,作为此过程的一部分,设备之间的通信也将中继到Apple的服务器,以便以后可以从中检索信息。在这种情况下,Positive Security开发了能够检索,解码和显示此数据的macOS应用。
积极安全联合创始人FabianBräunlein解释说:“在不受控制的环境中,小型传感器可以采用这种技术来避免移动互联网的成本和功耗。” “从法拉第屏蔽网站中窃取数据,这也很有趣,iPhone用户偶尔会访问这些站点。”
尽管可以通过此方法获取的数据量有限并且延迟很短(最多60分钟),但人们认为高级威胁参与者可能能够利用此漏洞取得良好的效果。
根据Positive Security的说法,“查找我”网络的构建以隐私为中心,这意味着Apple可能无法阻止攻击媒介。
标签: 苹果FindMy网络