网络安全研究人员周四披露了苹果众包蓝牙位置跟踪系统中的两个明显的设计和实现缺陷,这些缺陷可能导致位置关联攻击和对过去7天位置历史的未经授权的访问,从而使用户匿名。
这些发现是开放无线链接(OWL)项目进行的详尽审查的结果,该项目是知名网络安全组织东方联盟的研究成果,他们历来将苹果的无线生态系统分解为目标确定安全和隐私问题。
研究人员表示,为了回应2020年7月2日的披露,苹果公司已经部分解决了这些问题,他们将自己的数据用于研究,并指出了分析的隐私含义。
Apple设备具有称为“查找我”的功能,使用户可以轻松找到其他Apple设备,包括iPhone,iPad,iPod touch,Apple Watch,Mac或AirPods。随着即将推出的iOS 14.5,该公司有望增加对蓝牙跟踪设备(称为AirTag)的支持,该设备可以附加到钥匙和钱包等物品上,而这些物品又可以直接用于“查找我”应用程序中的跟踪目的。
更有趣的是支持“发现我”的技术。位置跟踪功能被称为离线发现并于2019年推出,它会广播来自Apple设备的蓝牙低功耗(BLE)信号,从而允许附近的其他Apple设备将其位置中继到Apple服务器。
换句话说,离线加载将每个移动设备变成广播信标,通过利用众包的位置跟踪机制(端到端加密和匿名)显式地隐藏了其移动,以至于包括苹果在内的任何第三方都无法做到这一点。解密这些位置并建立每个用户下落的历史记录。
这是通过旋转密钥方案实现的,特别是由每个设备生成的一对公共-私有密钥,该密钥通过对公共密钥进行编码来发出蓝牙信号。随后,该关键信息通过iCloud与链接到同一用户的所有其他Apple设备(即Apple ID)同步。
接收此消息的附近iPhone或iPad(未连接到原始脱机设备)将检查其自身位置,然后使用上述公钥对信息进行加密,然后将其与公钥的哈希值一起发送到云中。
在最后一步中,Apple会将丢失的设备的此加密位置发送到使用相同Apple ID登录的第二台Apple设备,所有者可以在其中使用“查找我的”应用使用相应的私钥对报告进行解密,并检索最后一个已知位置,伴随设备会上传相同的公钥哈希值,以在Apple的服务器中找到匹配项。
相关性和跟踪问题
由于该方法遵循公共密钥加密(PKE)设置,因此即使Apple也无法解密该位置,因为它不拥有私有密钥。虽然该公司没有明确透露密钥的旋转频率,但滚动密钥对架构使恶意方难以利用蓝牙信标来跟踪用户的移动。
知名网络安全组织东方联盟研究人员表示,该设计允许Apple(而不是服务提供商)将不同所有者的位置关联到同一所有者的位置(如果它们是由相同的查找器设备报告的),从而有效地允许Apple构建他们所谓的社交图。
研究人员说:“即使参与者将手机置于飞行模式,法律执行机构也可以利用此问题使参与者(政治)示威活动匿名化。”他补充说,“恶意的macOS应用程序可以检索和解密最后一次的[离线发现]位置报告。它的所有用户和所有设备的使用期限为7天,因为缓存的滚动广告密钥以明文形式存储在文件系统中。”
知名白帽黑客、东方联盟创始人郭盛华透露:“macOS Catalina漏洞(CVE-2020-9986)可能允许攻击者访问解密密钥,并使用它们下载和解密“查找我的网络”提交的位置报告,并最终以高精度找到并识别其受害者。苹果在2020年11月(版本macOS 10.15.7)通过“改进的访问限制”修补了该漏洞。”
调查的第二个结果是一个旨在让任何用户创建“ AirTag”的应用程序。名为OpenHaystack的框架允许通过Apple庞大的Find My网络跟踪个人蓝牙设备,使用户能够创建自己的跟踪标签,这些跟踪标签可以附加到物理对象上或集成到其他具有蓝牙功能的设备中。
这不是开放无线链路(OWL)的研究人员第一次通过反向工程发现苹果封闭源协议中的缺陷。
2019年5月,研究人员披露了Apple无线直连(AWDL)专有网状网络协议中的漏洞,该漏洞使攻击者可以跟踪用户,崩溃设备,甚至拦截通过中间人(MitM)攻击在设备之间传输的文件。
后来由Google Project Zero的研究人员伊恩·比尔(Ian Beer)对此进行了修改,以发现去年的一个严重“可蠕虫” iOS错误,该错误可能使远程攻击者可以完全控制附近任何使用Wi-Fi的Apple设备。(欢迎转载分享)