Apples platsspårningstjänst för enheter Find My kan missbrukas för att suga upp data från närliggande enheter och distribuera den över hela världen, enligt en ny rapport. I ett blogginlägg presenterar cybersäkerhetsföretaget Positive Security en proof-of-concept exploatering, kallad Send My. Exploateringen visar att Bluetooth Low Energy (BLE)-överföringarna som Find My-nätverket är byggt på kan manipuleras för att extrahera små mängder godtycklig data, utan att ens kräva en internetanslutning. Möjliggjort av speciell ESP32-firmware som förvandlar en mikrokontroller till ett modem som ansluter till nätverket av enheter, kan utnyttjandet i teorin också användas för att ladda ner mobildataplaner, föreslår artikeln.
apple hitta mitt nätverk
Apple Find My-nätverket förlitar sig på ett deltagande rapporteringssystem, snarare än GPS, för att lokalisera iOS-, macOS- och watchOS-enheter, och nu även AirTags. Om någon väljer programmet kommer deras enheter att börja kommunicera via BLE med andra Apple-tekniker i regionen. Och volymen av Apple-produkter i omlopp innebär att dessa enhetspingar kan användas för att skapa en exakt karta över platsen för varje kit. Men som en del av denna process överförs även kommunikation mellan enheter till Apples servrar, varifrån informationen kan hämtas senare. I det här fallet har Positive Security utvecklat en macOS-applikation som kan hämta, avkoda och visa dessa data. "Denna teknik skulle kunna användas av små sensorer i okontrollerade miljöer för att undvika kostnaden och energiförbrukningen för mobilt internet", förklarade Fabian Bräunlein, medgrundare av Positive Security. "Det kan också vara intressant att extrahera data från Faraday-skyddade webbplatser som ibland besöks av iPhone-användare." Även om mängden data som kan samlas in via denna metod är begränsad och latensen är låg (upp till 60 minuter), tror man att avancerade hotaktörer kan dra nytta av utnyttjandet till en bra kostnad. Enligt Positiv Security innebär det sätt som Find My-nätverket utformades på, med fokus på integritet, att det kan vara omöjligt för Apple att blockera attackvektorn. Apple svarade inte på en begäran om kommentar.- Här är vår lista över de bästa VPN-tjänsterna just nu.