Проблемы безопасности и небезопасности «маячков» Apple AirTag в последнее время интересуют ИБ-специалистов все чаще. Теперь эксперты Positive Security показали клон AirTag, способный обходить системы защиты, которые обычно работают против гаджетов Apple.
Напомню, что брелоки Apple AirTag появились в продаже весной 2021 года и могут использоваться для поиска устройств и вещей через Bluetooth и сервис Find My («Локатор»). Он представляет собой краудсорсинговую систему отслеживания местоположения, позволяя легко находить потерянные и украденные девайсы, а также в одном месте отслеживать любые гаджеты Apple, личные вещи с брелоками AirTag, а также местоположение родных и друзей.
К сожалению, как показала практика, «маячки» AirTag оказались весьма привлекательным инструментом для злоумышленников, так как они имеют небольшой размер и их можно подбросить жертве в карман, багаж или в автомобиль, чтобы шпионить за человеком без его ведома.
Совсем недавно мы писали о том, что ИБ-специалисты изобретают новые инструменты для защиты от такого наблюдения (особенно для Android), но одновременно с этим другие исследователи изучают иные аспекты этой технологии, в том числе, методы уклонения от защиты.
Так, на прошлой неделе о своем клоне AirTag рассказал соучредитель компании Positive Security Фабиан Бройнляйн (Fabian Bräunlein).
Нужно сказать, что это далеко не первый случай, когда в Apple Find My находят слабые места. К примеру, в марте 2021 года специалисты из Технического университета Дармштадта в Германии обнаружили баги в дизайне и имплементации протокола, которые в итоге могли привести к раскрытию данных и несанкционированному доступу к истории местоположений пользователей.
В мае 2021 года Бройнляйн продолжил это исследование, в итоге поделившись с публикой подробностями об атаке Send My, которая строилась на базе Find My и развивала идею злоупотребления сервисом гораздо дальше. Бройнляйн и его коллеги предложили эксплуатировать технологию Find My для передачи произвольных данных, продемонстрировав, что это возможно.
Нужно сказать, что в ответ на эти усилия специалистов и участившиеся сообщения о сталкинге с использованием AirTag, компания Apple представила ряд мер по борьбе с преследованием, направленных на прекращение неправомерного использования «маячков». Теперь компания предупреждает пользователей о возможной слежке, и также обещает, что правоохранительные органы могут запросить у Apple любую связанную с этим информацию, необходимую для расследований.
Однако исследователи из Positive Security тоже не сидели сложа руки и теперь представили клон AirTag, получивший имя Find You, разработанный с учетом обхода «всех текущих и будущих мер защиты». Эксперимент использует OpenHaystack, опенсорсный фреймворк, разработанный учеными из Технического университета Дармштадта для отслеживания устройств Bluetooth через сеть Apple Find My.
Авторы Find You пишут, что трансляция новых, ранее неизвестных открытых ключей каждые 30 секунд (из списка 2000 предварительно загруженных ключей) через PoC-устройство делает шпионский девайс практически необнаружимым. Предупреждения о слежке не отображаются ни в iOS, ни в официальном приложении Apple Tracker Detect для Android.
Интересно, что альтернативное Android-приложение AirGuard, созданное теми самыми экспертами Дармштадтского технического университета, может обнаруживать такой клон в режиме «ручного сканирования». И это, по мнению специалистов, ставит под сомнение эффективность мер безопасности, реализованных Apple для защиты пользователей от злоупотребления AirTag.
«Apple необходимо включать неоригинальные AirTag в свою модель угроз, внедряя функции защиты от преследования в сам протокол и экосистему Find My, а не в AirTag, которые могут работать с модифицированной прошивкой или вообще не быть AirTag», — заключает Бройнляйн.