研究人员质疑苹果Find My寻物网络存在信息泄露隐患

安全 应用安全
Positive Security 已经提出了一种概念验证方法,可通过低功耗蓝牙(BLE)广播、以及为调制解调器设计的微控制器,来实现从无连接的 苹果 设备、向苹果的 iCloud 服务器发送有限数量的任意数据。

[[399594]]

 Positive Security 联合创始人 Fabian Br?unlein 指出: 苹果用于追踪 iOS / macOS 设备、以及新近推出的 AirTag 智能追踪器的 Find My 寻物网络,存在着信息泄露的安全隐患。 他表示,在无需任何其它网络连接的情况下,苹果设备仍可借助无线传输功能,将数据从一个地方发送到另一个地方,比如位于地球另一端的一台计算机上。

[[399595]]

具体说来是,Positive Security 已经提出了一种概念验证方法,可通过低功耗蓝牙(BLE)广播、以及为调制解调器设计的微控制器,来实现从无连接的 苹果 设备、向苹果的 iCloud 服务器发送有限数量的任意数据。

由博客文章上披露的细节可知,Fabian Br?unlein 成功地通过 Mac 应用程序,从云端下载到了验证数据。背后的原理是,只要你的苹果设备上激活了 Find My 寻物网络,它就会成为众包位置追踪系统的一员。

至于数据泄露的途径,首先是通过 BLE 将数据传输到附近的其它苹果设备,接着经由网络中继抵达苹果服务器。然后被授权的设备所有者能够使用基于 iCloud 的 Find My 客户端(iOS / macOS)来获取有关已注册硬件的位置报告。

来自达姆施塔特技术大学的 Alexander Heinrich、Milan Stute、Tim Kornhuber、以及 Matthias Hollick,在一篇研究文章中详细介绍了对 Find My 寻物网络安全性和隐私性的分析。

在此前开展的 OpenHaystack 项目(用于创建自己的寻物网络工具)工作的基础上,他们得以进一步开展名为“Send Me”的后续研究。新研究的目标,旨在验证 Find My 网络能够从无法联网的设备向互联网发送任意数据。

正如他们所预料的那样:“在不受控制的环境中,小型传感器可借助此类技术,来避免移动互联网的成本与功耗。只需通过 iPhone 用户的‘偶尔访问’,严密得像是法拉第笼的地方,也可能发生一些意想不到的数据泄露”。

最后,由于未能找到明确的 Find My 寻物网络的报告发送限制(每个报告超过 100 字节),这项功能或许也会被滥用至耗尽智能机用户的套餐流量。

 

责任编辑:姜华 来源: 太平洋电脑网
相关推荐

2021-05-11 06:27:28

苹果AirTag漏洞

2022-05-17 15:10:30

安全漏洞iPhone

2021-05-12 11:06:26

攻击AirTag破解

2021-05-13 09:22:44

安全研究员苹果查找

2021-04-04 22:55:51

谷歌网络攻击网络安全

2011-10-28 10:17:11

2023-06-28 10:13:23

2021-02-02 09:32:06

黑客攻击l安全

2020-08-12 08:08:02

安全漏洞数据

2011-10-28 09:03:39

2021-04-30 11:29:35

Linux恶意软件敏感信息

2021-03-13 09:43:45

Find My漏洞网络安全

2013-01-23 09:34:32

2023-09-21 08:23:07

2024-03-28 08:00:00

人工智能多模态语言模型

2024-08-12 18:18:07

2012-02-16 08:27:14

安全漏洞RSA算法

2021-09-02 08:44:06

漏洞网络安全网络攻击

2017-03-27 16:09:58

2015-06-02 13:35:33

点赞
收藏

51CTO技术栈公众号