- Apple’ın Find My ağı kullanılarak herhangi bir Bluetooth cihazı takip edebilecek yeni bir saldırı
- Saldırı uzaktan sadece birkaç dakika içinde gerçekleştirilebilir
- Apple’a bildirildi, ancak düzeltilme ne zaman geleceği bilinmiyor
Apple’ın Find My uygulaması, en iyi iPhone’lar veya bir takım anahtarlarla ilişkilendirilmiş bir AirTag gibi önemli eşyalarınızı takip etmenin kullanışlı bir yoludur ve Apple’ın AirTag gibi cihazların gizlilikle ilgili endişeleri olmasına rağmen, Find My konsepti kendisi saldırıya oldukça dayanıklı kalmıştır – ta ki şimdiye kadar.
Çünkü Virginia’daki George Mason Üniversitesi’nden araştırmacılar, Find My ağında ciddi bir açık keşfettiklerini ve hemen hemen herhangi bir Bluetooth etkin cihazın sahibinin bilmeden konumunu izlemesine izin verebileceğini söylüyor.
Bunun yüzünde, son derece zeki bir açık sömürü olduğu görünüyor. “nRootTag” adını alan saldırı, Find My’ın şifreleme anahtarlarını manipüle ederek ağı, normal bir Bluetooth cihazının aslında izlenebilir bir AirTag olduğuna inandırmak için kullanır. Bu, herhangi bir Bluetooth cihazının, açığı olan bir kişi tarafından bulunabileceği anlamına gelir.
Araştırmacılar yöntemlerinin %90 başarı oranına sahip olduğunu bulmuşlardır. Dahası, hedeflenen bir cihazı bulmak için sadece birkaç dakika sürdü. Bu tür yetenekler yanlış ellerde olduğunda korkutucu bir kombinasyondur.
Uzaktan erişim
İnsanlar, AirTag’lerin ve Find My ağının kötü niyetli takip potansiyelinden önce endişelenmişlerdi, ancak geçmiş vakalarda bir tacizin kurbanına fiziksel olarak bir AirTag yerleştirmesi gerekiyordu. George Mason Üniversitesi’nin açığını kullanma durumunda, bunun gerekli olmadığı çünkü uzaktan tetiklenebilir. Örneğin, üniversite ekibi, uzak mesafelerden birkaç mil uzaklıkta bulunan bir uçağa yerleştirilmiş bir oyun konsolunu tüm yolculuğu boyunca izlemeyi başardı.
Tek küçük rahatlama, bu yöntemin arkasında güçlü bir gücün olması gerektiğidir, çünkü araştırmacılar, açığı kullanmak için hızlı bir şekilde şifreleme anahtarlarını bulmak için yüzlerce güçlü GPU kullanmak zorunda kaldılar. Yine de, kiralanmış GPU bankalarını kullanarak bunu yapmanın mümkün olabileceğini belirttiler, bu da önemli miktarda fon gerektirmez.
Araştırmacılar, Apple’a zafiyeti Temmuz 2024’te bildirdiklerini söylüyor. Apple sorunu kabul etti, ancak henüz düzeltilip düzeltilmeyeceğini veya nasıl düzeltileceğini bilmiyoruz – ve insanlar hemen cihazlarını güncellemezlerse tehdidin sona ermesi yıllar alabilir.
Güvende kalmak istiyorsanız, şu anda en iyi tavsiye cihazlarınızı düzenli olarak güncellemek ve uygulamalara Bluetooth erişim izni verirken dikkatli olmaktır. Bir uygulamanın neden Bluetooth’a ihtiyaç duyduğunu bilmiyorsanız, kapıyı sadece açmadan önce daha fazla araştırma yapın.
Ayrıca beğenebilirsiniz
