[Перевод] Send My: Произвольная передача данных по сети Apple Find My
Можно загружать произвольные данные с устройств, не подключенных к интернету, широковещательно посылая сообщения Find My по технологии BLE (Bluetooth с низким энергопотреблением) на расположенные поблизости устройства Apple, которые затем загружают данные для вас
Мы выпустили прошивку для ESP32, превращающую микроконтроллер в модем (работающий только на загрузку) и приложение для macOS, предназначенное для извлечения, декодирования и отображения загруженных данных: https://github.com/positive-security/send-my
В силу природы той парадигмы приватности и безопасности, на которых основан дизайн системы оффлайн-поиска Find My, представляется маловероятным, что такое злоупотребление ею можно будет полностью предотвратить
Find My modem (ESP32) // Модем Find My (ESP32)
Nearby Apple Devices // Расположенные поблизости устройства с Apple
Mobile Tower or Wifi Access Point // Сотовая вышка или точка доступа Wifi
macOS device with data retrieval app // Устройство macOS с приложением для извлечения данных
Data flow // поток данных
.
После состоявшегося недавно релиза технологии AirTags от Apple я заинтересовался, можно ли злоупотреблять системой оффлайнового поиска «Find My», чтобы загружать в Интернет произвольные данные с устройств, не подключенных к WiFi или мобильному интернету. Эти данные могли бы широковещательно транслироваться по Bluetooth с низким энергопотреблением и подхватываться устройствами Apple, расположенными поблизости. Эти устройства, стоит им подключиться к Интернету, сразу переправляли бы эти данные на сервера Apple, откуда их впоследствии можно извлечь. Такой прием мог бы использоваться небольшими сенсорами в неконтролируемых окружениях, чтобы не тратить лишнюю энергию на использование мобильного Интернета. Кроме того, она могла бы быть интересна для кражи данных из мест, защищенных клеткой Фарадея, стоит туда только заглянуть человеку с айфоном.
Читать дальше →
Мы выпустили прошивку для ESP32, превращающую микроконтроллер в модем (работающий только на загрузку) и приложение для macOS, предназначенное для извлечения, декодирования и отображения загруженных данных: https://github.com/positive-security/send-my
В силу природы той парадигмы приватности и безопасности, на которых основан дизайн системы оффлайн-поиска Find My, представляется маловероятным, что такое злоупотребление ею можно будет полностью предотвратить
Find My modem (ESP32) // Модем Find My (ESP32)
Nearby Apple Devices // Расположенные поблизости устройства с Apple
Mobile Tower or Wifi Access Point // Сотовая вышка или точка доступа Wifi
macOS device with data retrieval app // Устройство macOS с приложением для извлечения данных
Data flow // поток данных
.
Введение
После состоявшегося недавно релиза технологии AirTags от Apple я заинтересовался, можно ли злоупотреблять системой оффлайнового поиска «Find My», чтобы загружать в Интернет произвольные данные с устройств, не подключенных к WiFi или мобильному интернету. Эти данные могли бы широковещательно транслироваться по Bluetooth с низким энергопотреблением и подхватываться устройствами Apple, расположенными поблизости. Эти устройства, стоит им подключиться к Интернету, сразу переправляли бы эти данные на сервера Apple, откуда их впоследствии можно извлечь. Такой прием мог бы использоваться небольшими сенсорами в неконтролируемых окружениях, чтобы не тратить лишнюю энергию на использование мобильного Интернета. Кроме того, она могла бы быть интересна для кражи данных из мест, защищенных клеткой Фарадея, стоит туда только заглянуть человеку с айфоном.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Postman логирует все ваши секреты и переменные окружения
- Math Agency: Google AI Mode: новая модель поиска, которая меняет всё
- Атака клонов или темная сторона Open Source
- А вам точно нужно делать и продвигать приложение? Два главных вопроса бизнесу перед разработкой
- Гайд по криптостойкости, как защитить наши данные
- [Перевод] Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen
- [Перевод] ПОСТРОЕНИЕ ДОВЕРИЯ К ИИ: как блокчейн повышает целостность, безопасность и конфиденциальность данных
- Конкурс — дело тонкое: механики, которые работают у застройщиков (и не вызывают кринж у аудитории)
- Кризис идей: что делать, если не растут продажи на маркетплейсе
- От ручного труда к автоматизированным системам: польза для кредитных организаций