System lokalizacji w sprzęcie Apple może ujawniać tożsamość użytkowników

• Michał Górecki
• /
• 11 marca 2021

Jak informuje serwis threatpost.com chodzi o system śledzenia urządzeń Apple nawet wtedy gdy są offline. Offline Finding, zastrzeżona aplikacja wprowadzona przez Apple w 2019 roku na platformy iOS, macOS i watchOS, umożliwia lokalizację urządzeń Apple, nawet jeśli nie są one połączone z Internetem. Chociaż ta zdolność sama w sobie nie jest unikalna dla firmy, Apple obiecał, że technologia może wykonywać swoje zadanie w sposób, który chroni prywatność użytkowników.

Technologia wyszukiwania urządzań Apple

Technologia ta ma jednak wady. System ma wady, które mogą umożliwić nieautoryzowany dostęp do historii lokalizacji z ostatniego tygodnia, a to pozwala na ujawnienie tożsamości użytkownika. Jak czytamy w threatpost.com  naukowcy Alexander Heinrich, Milan Stute, Tim Kornhuber i Matthias Hollick sprawdzili, czy Offline Finding faktycznie zapewnia anonimowość. Gdy okazało się, że ma błędy, poinformowano o nich producenta. Ten zdecydował się wypuścić aktualizację.

- Krótko mówiąc, urządzenia jednego właściciela uzgadniają zestaw tak zwanych ruchomych kluczy publiczno-prywatnych” – tłumaczą naukowcy cytowani przez serwis. „Urządzenia bez połączenia z Internetem, tj. bez łączności komórkowej lub Wi-Fi, emitują sygnał, który kodowany jest jednym z ruchomych kluczy publicznych. Urządzenia „śledzące” sygnały szyfrują swoją bieżącą lokalizację za pomocą ruchomego klucza publicznego i wysyłają raport o lokalizacji do centralnego serwera firmy Apple ” – dodają naukowcy.

Jak działa Offline Finding?

System działa, wykorzystując własną sieć tak zwanych urządzeń „wyszukujących” do lokalizowania „zagubionych”, niepołączonych urządzeń za pomocą technologii Bluetooth Low Energy (BLE). Wyszukiwarki, które są połączone z Internetem, mogą następnie przekazywać informacje o lokalizacji z powrotem do właściciela zgubionego urządzenia.

Wada wykrywa przez ekspertów pozwala na połączenie lokalizacji różnych użytowników, jeśli ich lokalizacje są zgłaszane przez tę samą wyszukiwarkę, co pozwala na ustalenie tożsamości użytkownika. Apple może wiec uzyskać informację, którzy użytkownicy są blisko siebie. Druga luka jest poważniejsza. Pozwala na dostęp aplikacji zewnętrznych, którą mogą pobrać i odszyfrować raport lokalizacji z ostatnich siedmiu dni. dla wszystkich użytkowników i wszystkich ich urządzeń

Problem polega na tym, że prywatność lokalizacji zgubionych urządzeń opiera się na założeniu, że prywatna część kluczy — które zmieniają się co 15 minut — jest znana tylko właścicielom urządzeń. Na każde urządzenie przypadają łącznie 672 klucze, dla których istnieją raporty lokalizacji na serwerach Apple.

Luka pozwala obejść zabezpieczenia i uzyskać dostęp do geolokalizacji wszystkich urządzeń bez zgody użytkownika.

Jak zapewnia firma Apple, poprawka do systemu została wydana we wrześniu 2020. Dziś problemu z możliwym uzyskaniem informacji o lokalizacji przez nieuprawnione osoby już nie ma.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.