Luka w usłudze Find My Network firmy Apple umożliwia hakerom śledzenie urządzeń Bluetooth bez wiedzy użytkownika.

Naukowcy z George Mason University odkryli lukę w usłudze Find My Network firmy Apple, która umożliwia hakerom potajemne śledzenie dowolnego urządzenia Bluetooth.

Co wiadomo

Sieć Znajdź mój, zaprojektowana do śledzenia urządzeń i akcesoriów takich jak AirTag, może być teraz wykorzystywana do śledzenia ludzi. Hakerzy mogą zmienić dowolne urządzenie, takie jak telefon lub laptop, w AirTag bez wiedzy właściciela. Pozwala to na zdalne śledzenie lokalizacji urządzenia.

Sieć Find My działa poprzez wysyłanie wiadomości Bluetooth z AirTag i innych trackerów do pobliskich urządzeń Apple, które anonimowo przesyłają informacje o lokalizacji do właściciela za pośrednictwem serwerów Apple. Badacze znaleźli sposób na to, by sieć Znajdź mój śledziła dowolne urządzenie Bluetooth przy użyciu odpowiedniego klucza.

Exploit, nazwany nRootTag, ma wysoki wskaźnik sukcesu wynoszący 90 procent i nie wymaga skomplikowanego podniesienia uprawnień administratora. W jednym z eksperymentów badacze byli w stanie śledzić lokalizację komputera z dokładnością do 3 metrów, co pozwoliło im śledzić rower jadący przez miasto.

Badacze zgłosili lukę do Apple w lipcu 2024 roku i zalecili aktualizację aplikacji Find My Network w celu lepszego testowania urządzeń Bluetooth. Apple przyznało się do problemu, ale jeszcze go nie naprawiło. Firma nie podała nawet szczegółów, w jaki sposób to zrobi.

Badacze dodali, że naprawienie luki może zająć lata, ponieważ wiele osób nie aktualizuje swoich urządzeń natychmiast po wydaniu przez Apple nowego oprogramowania. Eksperci radzą, aby nigdy nie zezwalać na niepotrzebny dostęp do urządzeń Bluetooth, gdy aplikacje o to proszą i zawsze instalować nowe oprogramowanie od producenta.

Źródło: George Mason University