Новая уязвимость позволяет шпионить за устройствами Apple по Bluetooth
В это сложно поверить, но за последние пару месяцев в устройствах Apple было обнаружено столько уязвимостей, сколько не удавалось обнаружить за несколько лет. Сначала приложение «Локатор» давало посторонним людям возможность отслеживать потерянные устройства, подающие сигнал бедствия. Потом баг iOS 13 позволил хакерам получить доступ к паролям и банковским картам пользователя. Затем был серверный компонент сервисов Zoom, Zhumu и RingCentral, автоматически устанавливающий их приложения и таким образом позволяющий следить за пользователями через веб-камеру. Но что на этот раз?
Читайте также: Пчелы против меда? Apple обвинили в нежелании защищать пользователей
Уязвимость в протоколе Bluetooth может использоваться для отслеживания и идентификации устройств Apple. Такой вывод сделали исследователи Бостонского университета. Брешь охватывает все электронные гаджеты компании от Apple Watch и iPhone до iPad и Mac. Иронично, что уязвимость распространяется именно на устройства Apple, а также Microsoft, но при этом минует гаджеты на базе Android.
Безопасен ли Bluetooth
Обычно, чтобы предотвратить отслеживание посредством беспроводного протокола, большинство устройств используют MAC-адрес, который время от времени меняют, заметая таким образом свои виртуальные следы. Однако исследователям нашли способ обойти эту защиту.
«Устройства на базе iOS и macOS задействуют два типа токенов, которые изменяются в определенных временных интервалах. Чаще всего они меняются вместе с адресом. Однако иногда происходит рассинхронизация и они меняются в разное время, что и позволяет алгоритму предсказать новый случайный адрес», — отмечают исследователи.
Обновление Apple
Доподлинно неизвестно, успел ли кто-то воспользоваться этой уязвимостью в протоколе Bluetooth, чтобы установить местоположение устройств Apple. Однако, учитывая, что исследование содержит ряд рекомендаций по повышению защищенности устройств, существует большая вероятность, что в Купертино воспользовались ими и либо уже устранили уязвимость, либо сделают это с выходом ближайшего обновления.
Подпишись на наш канал в Яндекс.Дзен. Там мы позволяем себе немного больше, чем здесь.
