一份新的报告称,苹果公司的设备位置跟踪服务“Find Me”可能被滥用,从附近的设备中窃取数据,并将其发送到世界各地。安全公司Positive Security在一篇名为“Send Me”的博文中提出了一个概念验证漏洞。该漏洞显示,带有“Find Me”网络的低功耗蓝牙(BLE)广播可以被操纵来传输少量任意数据,即使没有互联网连接。
帖子暗示,微控制器可以变成一个调制解调器,可以通过特殊的ESP32固件访问设备网络,这个漏洞理论上也可以用来刷新移动数据计划。
苹果Find My network依靠众包信息系统而不是GPS来定位iOS、macOS和watchOS设备——现在,AirTag也是如此。
如果有人选择加入该计划,他们的设备将开始通过BLE与该地区的其他苹果技术进行通信。苹果产品的流通意味着这些设备可以被用来ping精确地映射每个套件的位置。
然而,作为这一过程的一部分,设备之间的通信也将被中继到苹果的服务器,以便稍后可以从中检索信息。在这种情况下,积极安全开发了一个macOS应用程序,可以检索,解码和显示这些数据。
active联合创始人fabianbrunlein解释道,“在不受控制的环境中,小型传感器可以采用这种技术,避免移动互联网的成本和功耗。”“从法拉第屏蔽的网站窃取数据也很有趣,iPhone用户偶尔会访问这些网站。”
虽然通过这种方法可以获得的数据量有限,并且延迟非常短(最多60分钟),但人们认为高级威胁参与者可能能够利用该漏洞来达到良好的效果。
积极安全(Positive Security)称,“找到我”(Find Me)网络是以隐私为中心构建的,这意味着苹果可能无法阻止攻击媒介。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 puzdycom@126.com 举报,一经查实,本站将立刻删除。
