苹果的Find My网络可能被滥用，从附近的设备中过滤数据

最新的研究显示了一种新的利用漏洞的方法，通过向附近的苹果设备发送“查找我的”蓝牙广播，可以从未连接到互联网的设备上传任意数据。

“通过向附近的苹果设备发送Find My（蓝牙低能）广播，可以从未连接互联网的设备上传任意数据，然后苹果设备会为您上传数据，”积极安全研究人员Fabian Bräunlein在上周披露的一份技术报告中说。

这项研究建立在2021年3月TU达姆施塔特的一项先前的分析中，它揭示了苹果众源蓝牙定位跟踪系统中两个截然不同的设计和实现缺陷，这可能导致位置相关性攻击和过去七天用户位置历史的未经授权的访问。

一个名为OpenHaystack的框架的发布进一步加强了调查，该框架旨在让任何用户创建一个“AirTag”，使个人能够通过苹果庞大的Find My网络追踪个人蓝牙设备。

但是，苹果公司的Find My offline finding系统的逆向工程也为以下可能性打开了大门：可以模拟该协议，通过蓝牙信标广播信息，将任意数据上传到互联网上，这些信息将被苹果设备近距离接收，然后将加密数据转发到苹果的服务器上，macOS应用程序可以从那里检索、解码和显示上传的数据。

Find My的一个核心方面是其旋转密钥方案，该方案由一对公钥和私钥组成，每15分钟就有一次决定性的更改，公钥在蓝牙低能广告包中发送。

因此，当附近的苹果设备（如MacBooks、iPhone和iPad）接收到广播时，它们会获取自己的位置，然后使用上述公钥对位置进行加密，然后将加密的位置报告连同公钥散列发送到iCloud。在最后一步中，丢失设备的所有者可以使用第二台使用相同Apple ID登录的Apple设备访问大致位置。

加密保护意味着，苹果不仅不知道哪些公钥属于特定的丢失设备或AirTag，也不知道哪些位置报告是针对特定用户的；因此，上述苹果ID要求。Bräunlein说：“安全性完全在于位置报告的加密：位置只能用正确的私钥解密，这是暴力无法实现的，只能存储在配对的所有者设备上。”。

因此，我们的想法是通过将消息编码到广播有效载荷中，然后在另一端使用基于OpenHaystack的数据获取组件获取这些信息，该组件解密并提取从发送方设备（例如微控制器）传输的信息，从而利用这一差距。

“在发送时，数据被编码在微控制器广播的公钥中。附近的苹果设备将接收这些广播，并将数据转发到苹果后端，作为其位置报告的一部分。这些报告稍后可由任何Mac设备检索，以解码发送的数据，”Bräunlein解释道。

虽然这种攻击在现实世界中的恶意影响似乎没有意义，但由于Find My network固有的端到端加密特性，苹果也很难抵御此类攻击。

为了应对任何潜在的误用，研究人员建议用两种可能的方式强化系统，包括对可认证的广告进行认证，并通过缓存哈希值对位置报告检索应用速率限制，并确保“每15分钟只查询16个新密钥ID和Apple ID”。值得注意的是，每个Apple ID有16个AirTags的限制。

Bräunlein说：“在高安全性网络的世界里，将激光和扫描仪结合起来似乎是弥合空气间隙的一项值得注意的技术，访客的苹果设备也可能成为从某些空气间隙系统或法拉第笼室中过滤数据的可行中介。”。