Olyan biztonsági hibát fedeztek fel amerikai kutatók, amely miatt gyakorlatilag nyomkövetővé alakíthatnak szinte minden Bluetooth-képességgel rendelkező készüléket az Apple Find My applikációjának felhasználásával. Az almás cégnél már tudnak a problémáról.
Az Apple Find My lehetővé teszi, hogy a felhasználók egyszerűen nyomon követhessék eszközeiket, azonban egy mostani felfedezés szerint ezt a hackerek is képesek lehetnek felhasználni arra, hogy lényegében bármilyen Bluetooth-eszközt lekövessenek, akkor is, ha rendelkezik ez elleni védelemmel – adta hírül a 9to5mac nevű, főleg az Apple híreivel foglalkozó oldal.
Erre a George Mason Egyetem kutatói jöttek rá, akik közölték, hogy megtalálták annak módját, hogy a tulajdonosok tudta nélkül lényegében bármilyen eszközt AirTaggé alakítsanak a Find My kihasználásával.
Elmondásuk szerint az egyik kísérlet alkalmával egy számítógép helyzetét tudták lekövetni 10 lábnyi (nagyjából 3 méteres) pontossággal, ami lehetővé tette, hogy nyomon kövessenek egy biciklist is, aki a városban mozog. Egy másik esetben egy játékkonzol segítségével tudták rekonstruálni egy személy repülési útvonalát.
A Find My-hálózat alapvetően úgy működik, hogy az AirTag és más kompatibilis eszközök Bluetoothon keresztül üzeneteket küldenek a közelben lévő Apple-készülékeknek. Ezek az eszközök névtelenül továbbítják az AirTag helyzetét a tulajdonosnak az Apple szerverein keresztül. Az egyetem kutatói azonban olyan módot találtak, amely lehetővé teszi a Find My-hálózat számára, hogy bárminemű Bluetooth-eszközt kövessen, ha a megfelelő kulcsot alkalmazzák.
Bár az AirTag tervezésekor figyelembe vették, hogy a Bluetooth-címek titkosítási kulcson alapulva változzanak, a támadók egy olyan rendszert fejlesztettek, amely gyorsan képes kulcsmintázatokat keresni.
Míg egy okoszár feltörése már önmagában is ijesztő, még rémisztőbb, ha a támadó a zár pontos helyét is tudja. Az általunk bemutatott támadási módszerrel ezt elérhetik
– nyilatkozta az egyik kutató.
A kutatók 2024 júliusában értesítették az Apple-t a felfedezésről, és javasolták, hogy frissítsék a Find My-hálózatot, hogy jobban ellenőrizze a Bluetooth-eszközöket. Bár az Apple nyilvánosan elismerte az egyetem csapatának segítségét a sérülékenység felfedezésében, a cég eddig nem javította a problémát, és nem is osztotta meg, hogyan tervezi annak orvoslását.
A kutatók figyelmeztetnek, hogy ha az Apple ki is ad egy biztonsági frissítést, várhatóan nem mindenki fogja azt azonnal telepíteni. Azt javasolják, soha ne adjanak a készülékek Bluetoothához szükségtelen hozzáférést, ha az alkalmazások azt kérik, és mindig frissítsék a szoftvereket, ha van rá lehetőség.