Дослідники кібербезпеки з Secure Mobile Networking Lab в Технічному університеті Дармштадта (Німеччина) виявили дві проблеми в конструкції і реалізації системи відстеження місцезнаходження Bluetooth від Apple, які дозволяли отримати несанкціонований доступ до історії місцезнаходжень користувачів за останні сім днів.
Пристрої Apple поставляються з функцією Find My, яка спрощує користувачам пошук інших продуктів Apple, включаючи iPhone, iPad, iPod touch, Apple Watch, Mac або AirPods. Функція відстежування місцеположення, що отримала назву “автономний пошук” і представлена в 2019 році, передає сигнали технології Bluetooth Low Energy (BLE) з пристроїв Apple, дозволяючи знаходяться в безпосередній близькості іншим аксесуарам передавати своє місце розташування на сервери компанії.
Автономне завантаження перетворює всі мобільні пристрої в широкомовний маяк, спеціально призначений для відстеження переміщень за рахунок використання краудсорсінгового механізму, який є анонімним і захищений наскрізним шифруванням. Це досягається шляхом ротації ключів (пари відкритих і закритих), які генеруються кожним пристроєм, що випромінює сигнали Bluetooth, кодуючи разом з ним відкритий ключ. Ключова інформація згодом синхронізується через iCloud з усіма іншими пристроями Apple, пов’язаними з тим же користувачем.
Оскільки цей підхід пов’язаний з налаштуванням шифрування з відкритим ключем (public key encryption, PKE), навіть Apple не може розшифрувати дані про місцезнаходження користувача. За словами дослідників, подібний дизайн дозволяє Apple співвідносити розташування різних власників, якщо їх розташування повідомляється одними і тими ж пошуковими пристроями.
“Правоохоронні органи можуть використовувати цю проблему для деанонімізація учасників (політичних) демонстрацій, навіть коли учасники переводять свої телефони в режим польоту. Шкідливі програми для macOS можуть витягувати і розшифровувати звіти про місцезнаходження останніх сім днів для всіх користувачів і для всіх їх пристроїв, оскільки ключі кешованої реклами зберігаються в файлової системі у відкритому вигляді”, – пояснили експерти.
Іншими словами, уразливість в macOS Catalina (CVE-2020-9986) може дозволити зловмиснику отримати доступ до ключів дешифрування, використовуючи їх для завантаження і розшифровки звітів про місцезнаходження, відправлених мережею Find My, і, в кінцевому підсумку, для виявлення та ідентифікації жертв з високою точністю. Уразливість була виправлена Apple в листопаді 2020 року в версії macOS 10.15.7 за допомогою “поліпшених обмежень доступу”.
Друга виявлена проблема – програма, яка дозволяє будь-якому користувачеві створити пошуковий трекер AirTag. Фреймворк під назвою OpenHaystack дозволяє відстежувати особисті Bluetooth-пристрої через величезну мережу Apple Find My і створювати власні теги відстеження, які можна додавати до фізичних об’єктів або інтегрувати з іншими пристроями з підтримкою Bluetooth.
Експерти повідомили Apple про свої знахідки в минулому році, і компанія виправила проблеми.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Signal чи Telegram: який додаток кращий для чату?
Топ-7 альтернативних месенджерів на заміну WhatsApp
Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ
Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19
Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ
Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.
Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple Mac. Він отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.
Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.
Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.
До речі, нещодавно виявлена фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.
