安全研究人员证实,“SendMy”漏洞可利用Apple的定位服务收集并发送附近设备的信息,然后上传至iCloud服务器。即,Apple的“查找我的”功能可以帮助一些恶意人员跟踪他们的iOS和macOS设备,允许非联网设备通过使用附近的Apple设备为其上传数据来上传任意数据。FindMy网络使用所有活动的iOS设备作为节点来传输位置数据,因此黑客有可能模仿AirTag连接到FindMy网络并广播其位置的方式,通过加密广播发送其位置,以及何时当这个数据被替换成一个消息时,它可以被加密的广播信息覆盖。安全研究员FabianBr?unlein使用微控制器和自定义MacOS应用程序开发了一个概念验证,该应用程序可以通过低功耗蓝牙(BLE)从一个设备向另一个设备广播数据。一旦连接到互联网,接收设备就可以将数据转发到攻击者控制的AppleiCloud服务器。Br?unlein将这种方法称为“发送我的”,并为该方法提出了几个用例,包括为物联网(IoT)传感器构建一个良性网络,或者随着时间的推移耗尽人们的移动数据计划。鉴于该功能基于“FindMy离线查找系统隐私和安全设计的固有特性”,Apple几乎不可能阻止这种对FindMy的滥用。Braunlein说他的灵感来自AppleAirTags,这是一种可以附在个人物品上的蓝牙追踪器。大小和一枚硬币差不多,挂在任何物品上都很方便。比如你用钥匙挂起来,只要钥匙离开配对的iPhone一定范围,手机就会发出声音,弹出警报通知用户。如果您没有在第一时间收到警告,您还可以使用iPhone的“查找我的”位置逐步找到丢失的钥匙。Braunlein借鉴了德国达姆施塔特技术大学的一个团队之前的研究(PDF),该团队对Apple的FindMy网络进行了逆向工程,开发了一个名为OpenHaystack的工具。OpenHaystack允许人们创建自己的附件,定位器服务可以找到并跟踪这些附件。在此过程中,该团队还发现了系统中可能暴露用户身份的漏洞。当通过蓝牙使用时,Apple的“查找我的”功能基本上是众包通过蓝牙查找某人的设备或物品的能力,设备使用位置信标进行通信。然后,设备所有者可以收到在Apple的iCloud“查找我的iPhone”或iOS/MacOS“查找我的手机”应用程序中注册的设备位置报告。蓝牙设备信息采集步骤如下:1.AirTag与AppleDevice配对时,会生成一对椭圆曲线密钥,将公钥推送给AirTag和生成滚动公钥的共享密钥钥匙;2.每次AirTag在2秒内发送一个以公钥为内容的低功耗蓝牙广播,并使用之前共享的秘密每15分钟更改一次;3.附近的iPhone、Macbook等可以识别FindMy广播,检索其当前位置并使用广播4.在设备发现过程中,配对的所有者设备生成一个滚动的公钥列表,AirTag已在其中使用过去几天并将其发送到Apple服务以查找其SHA256哈希值。Apple后端返回一个加密的位置报告,其中包含请求的密钥ID;5、机主设备解密位置报告,显示大概位置;要以Br?unlein总结的方式使用该服务,需要许多工程步骤和定制硬件。为了发送数据,他编写了一个低成本的ESP32微控制器作为调制解调器,使用基于openhaystack的固件广播硬编码的默认消息,然后在串行接口上??监听任何新数据的循环广播,直到收到新消息收到为止。附近启用了“查找我”服务的Apple设备可以接收这些信号并将它们发送到Apple的服务器。为了检索数据,Br?unlein还开发了一个基于OpenHaystack的MacOS应用程序,该应用程序使用具有更高权限的AppleMail插件将经过身份验证的位置检索请求发送到Apple后端。系统将提示用户输入4字节调制解调器ID(可以在刷入ESP固件时设置),之后应用程序将自动获取、解码并显示消息。之后,用户可以获得更多信息或更换调制解调器。Br?unlein想到了SendMy漏洞利用的几种用途。一种方法是将物联网设备连接在一起,以更有效地共享互联网连接。这是使用亚马逊的Sidewalk网络和Echo设备显示的场景;然后可以使用iOS设备使用“发送我的”创建相同的消息。由于Finding设备会缓存接收到的广播,直到它们连接到Internet,因此只要有人经过该区域,传感器甚至可以从没有移动覆盖的区域发送数据。对于那些心怀险恶的人,这种方法可以用来从某些密闭系统或高安全性的法拉第笼屋中窃取数据。法拉第笼是由导电材料制成的外壳,可阻挡电磁场并防止通信信号穿透。攻击者可以使用SendMy耗尽附近iPhone的移动数据计划,尽管系统上发送的广播消息的数据容量不是很大(以千字节为单位),因此耗尽可能需要一段时间。Br?unlein说:由于Finder设备的位置报告数量有限(由于1字节计数值,每次提交255份报告),并且每份报告都超过100字节,广播许多唯一的公钥应该会导致手机发送移动流量放大。本文翻译自:https://threatpost.com/apple-find-my-exploited-bluetooth/166121/如有转载请注明原文地址。
