Empresa Appleemitindo o rótulo Apple AirTag disse que era seguro usar. De acordo com eles, você não pode rastrear uma pessoa contra a vontade dela porque a etiqueta está protegida. Mas, como se viu, a proteção Apple não é suficiente e os usuários provavelmente não conseguirão evitar o rastreamento. Uma pedra séria na horta de Cupertino, mas ainda são “flores” em comparação com o fato de que o rótulo Apple AirTag foi hackeado e usado para outros propósitos egoístas.
Como hackeado Apple AirTag
Até agora, apenas dois métodos de hackear a tag são conhecidos. O primeiro hack era que o usuário alterava a URL à qual o chip NFC estava se referindo, e o segundo era mais sinistro e usava dados de GPS criptografados que a tag transmite para iPhones “vizinhos” para localizá-los a fim de enviar mensagens indesejadas.
Ambos os métodos não são descritos em detalhes pelos crackers, uma vez que foram realizados para fins de pesquisa. Mas, na realidade, esse é um grande problema de privacidade que pode afetar não apenas os proprietários de AirTag, mas também outras pessoas que não sabem que seu iPhone está interagindo com a tag.
Por que você não pode ignorar o hack AirTag
No primeiro caso, onde o usuário simplesmente mudou a URL do link para o qual o chip NFC leva, as coisas não parecem tão sérias. Por um lado, pode até ser útil, porque ao escanear uma tag perdida, você pode adicionar, digamos, a sua própria Instagram ou um site, em vez do número de telefone / e-mail que oferece Apple…
Além disso, de acordo com este esquema, um usuário que simplesmente perdeu uma tag pode estar em risco, porque se uma pessoa que a encontrar tiver habilidades de hacking, ele pode usar o primeiro método e obter o a notificações pop-up no modo perdido. Dessa forma, a tag pode ser usada para enviar spam indesejado para o iPhone. Mas há uma saída para essa situação: você pode desligar as notificações e remover a tag, enquanto perde seus $ 29.
O segundo esquema de hacking parece ainda mais sinistro, e aqui está o porquê. Quando você traduz Apple Com o AirTag no modo perdido ou apenas ligando o rastreamento, o tag a a se comunicar com outros iPhones, transmitindo dados criptografados para eles e usando o GPS nesses aparelhos, determina a localização. Os desenvolvedores notaram que alguns bits de dados de localização podem ser substituídos por outros e usados para seus próprios fins.
Na prática, seria assim: você fica algum tempo em um café onde o invasor saiu do AirTag, seu iPhone lê os dados personalizados que o hacker inseriu no código da tag e recebe uma notificação de absolutamente qualquer natureza. Hoje em dia, o problema dos hackers que usam esse método para enviar spam é que o tamanho dos dados é muito pequeno. Aproximadamente alguns kilobytes. Não será possível ajustar uma notificação completa neste tamanho, mas ainda há um cliente potencial.
Se você deseja se aprofundar na parte técnica da pesquisa desse método, pode se familiarizar com todas as complexidades da transferência de dados por meio de um dispositivo Bluetooth LE configurado corretamente e da rede Latitude no blog Positive Security.
Mais um problema
Há mais um pequeno descuido a ser considerado. Consiste no fato de todas essas manipulações arem Appleisso não pode afetar de forma alguma os dados que você recebe ou envia. Na apresentação, a empresa deixou claro para nós que Apple AirTag não é rastreado Apple… Por um lado, isso é bom, porque assim teríamos sérias dúvidas sobre segurança, pois nesta opção, duvido da impossibilidade de hackear o tag e obter os dados de localização do seu iPhone a partir dele. Mas por outro lado, não conseguiremos descobrir os endereços de dispositivos que irão transmitir dados maliciosos através do AirTag e será virtualmente impossível resistir a hackers / spammers. Portanto, há uma vara com duas pontas.
É possível agora se proteger de alguma forma
Primeiro, vamos deixar claro que o AirTag não está disponível no momento. Também existem maneiras iníveis que permitem hackea-lo e usá-lo para seus próprios fins. Em segundo lugar, Apple provavelmente já ciente desses problemas, a empresa muitas vezes lança atualizações para seus sistemas, AirTag (muito provavelmente) será capaz de atualizar como AirPods e obter melhorias de segurança que bloqueiam os métodos acima.
Mas, se você não espera por Appleenquanto a saída é possível: não escaneie as tags de outras pessoas usando NFC, se você não quiser se expor ao perigo de spam. Mas sobre como trabalhar com transferência de dados por meio da rede Find My, é improvável que você consiga fazer algo, uma vez que esse processo não depende dos usuários do iPhone.
Conclusão
Depois de sair Apple AirTag temos muitas dúvidas sobre seu trabalho. Estávamos esperando por um rastreador que fosse conveniente de usar, mas recebemos uma ferramenta muito poderosa que na prática pode representar uma ameaça à segurança. Considerando que, como se viu, usando o AirTag é possível rastrear a movimentação de pessoas / encomendas, e agora a tag pode ser hackeada e usada como núcleo de spam, tudo isso faz o futuro usuário pensar.
Claro, não tenho dúvidas de que Apple irá resolver problemas sérios no futuro. Isso leva tempo e o simples fato de sabermos sobre eles nos protege. Afinal, não existe um dispositivo perfeito que não possa ser hackeado. E o firmware no qual o AirTag é executado é muito menos avançado do que aquele no qual o iPhone é executado, então a possibilidade de exploits é muito mais limitada.
Portanto, não entre em pânico, estamos aguardando notícias de melhorias de privacidade. Apple e não escaneie as tags de outras pessoas desnecessariamente. Também gostaríamos de saber o que você pensa sobre o hack do AirTag e se você o considera perigoso para os usuários, então deixe sua opinião nos comentários.
