Saltar al contenido
computerg

馃 Apple Find My Network Podr铆a Ser Abusado Para Desviar Datos De Dispositivos Cercanos

mayo 15, 2021

Se puede abusar del servicio de rastreo de ubicaci贸n de dispositivos de Apple, Find My, para desviar datos de dispositivos cercanos y distribuirlos en todo el mundo, seg煤n un nuevo informe.

En una publicaci贸n de blog, la empresa de ciberseguridad Positive Security presenta una prueba de explotaci贸n de concepto, llamada Send My. El exploit demuestra que las transmisiones de Bluetooth Low Energy (BLE) en las que se construye la red Find My se pueden manipular para extraer peque帽as cantidades de datos arbitrarios, sin siquiera necesitar una conexi贸n a Internet.

Posible gracias al firmware especial ESP32 que convierte un microcontrolador en un m贸dem que se conecta a la red de dispositivos, el exploit podr铆a, en teor铆a, usarse tambi茅n para descargar planes de datos m贸viles, sugiere el art铆culo.

Apple encuentra mi red

La red Apple Find My se basa en un sistema de informaci贸n participativo, en lugar de GPS, para ubicar dispositivos iOS, macOS y watchOS, y ahora tambi茅n AirTags.

Si alguien elige el programa, sus dispositivos comenzar谩n a comunicarse a trav茅s de BLE con otras tecnolog铆as de Apple en la regi贸n. Y el volumen de productos Apple en circulaci贸n significa que estos pings de dispositivos se pueden utilizar para crear un mapa preciso de la ubicaci贸n de cada pieza del kit.

Sin embargo, como parte de este proceso, las comunicaciones entre dispositivos tambi茅n se transmiten a los servidores de Apple, desde donde se puede recuperar la informaci贸n m谩s tarde. En este caso, Positive Security ha desarrollado una aplicaci贸n macOS capaz de recuperar, decodificar y mostrar estos datos.

鈥淓sta t茅cnica podr铆a ser utilizada por peque帽os sensores en entornos no controlados para evitar el costo y el consumo de energ铆a de Internet m贸vil鈥, explic贸 Fabian Br盲unlein, cofundador de Positive Security. 芦Tambi茅n podr铆a ser interesante extraer datos de sitios protegidos por Faraday que a veces son visitados por usuarios de iPhone禄.

Aunque la cantidad de datos que se pueden recopilar a trav茅s de este m茅todo es limitada y la latencia es baja (hasta 60 minutos), se cree que los actores de amenazas avanzadas pueden aprovechar el exploit a un buen costo.

Seg煤n Positive Security, la forma en que se dise帽贸 la red Find My, con un enfoque en la privacidad, significa que puede ser imposible para Apple bloquear el vector de ataque.

Apple no respondi贸 a una solicitud de comentarios.

  • Aqu铆 est谩 nuestra lista de los mejores servicios VPN en este momento.

A trav茅s del registro


Source link