[Перевод] Send My: Произвольная передача данных по сети Apple Find My
Можно загружать произвольные данные с устройств, не подключенных к интернету, широковещательно посылая сообщения Find My по технологии BLE (Bluetooth с низким энергопотреблением) на расположенные поблизости устройства Apple, которые затем загружают данные для вас
Мы выпустили прошивку для ESP32, превращающую микроконтроллер в модем (работающий только на загрузку) и приложение для macOS, предназначенное для извлечения, декодирования и отображения загруженных данных: https://github.com/positive-security/send-my
В силу природы той парадигмы приватности и безопасности, на которых основан дизайн системы оффлайн-поиска Find My, представляется маловероятным, что такое злоупотребление ею можно будет полностью предотвратить
Find My modem (ESP32) // Модем Find My (ESP32)
Nearby Apple Devices // Расположенные поблизости устройства с Apple
Mobile Tower or Wifi Access Point // Сотовая вышка или точка доступа Wifi
macOS device with data retrieval app // Устройство macOS с приложением для извлечения данных
Data flow // поток данных
.
После состоявшегося недавно релиза технологии AirTags от Apple я заинтересовался, можно ли злоупотреблять системой оффлайнового поиска «Find My», чтобы загружать в Интернет произвольные данные с устройств, не подключенных к WiFi или мобильному интернету. Эти данные могли бы широковещательно транслироваться по Bluetooth с низким энергопотреблением и подхватываться устройствами Apple, расположенными поблизости. Эти устройства, стоит им подключиться к Интернету, сразу переправляли бы эти данные на сервера Apple, откуда их впоследствии можно извлечь. Такой прием мог бы использоваться небольшими сенсорами в неконтролируемых окружениях, чтобы не тратить лишнюю энергию на использование мобильного Интернета. Кроме того, она могла бы быть интересна для кражи данных из мест, защищенных клеткой Фарадея, стоит туда только заглянуть человеку с айфоном.
Читать дальше →
Мы выпустили прошивку для ESP32, превращающую микроконтроллер в модем (работающий только на загрузку) и приложение для macOS, предназначенное для извлечения, декодирования и отображения загруженных данных: https://github.com/positive-security/send-my
В силу природы той парадигмы приватности и безопасности, на которых основан дизайн системы оффлайн-поиска Find My, представляется маловероятным, что такое злоупотребление ею можно будет полностью предотвратить
Find My modem (ESP32) // Модем Find My (ESP32)
Nearby Apple Devices // Расположенные поблизости устройства с Apple
Mobile Tower or Wifi Access Point // Сотовая вышка или точка доступа Wifi
macOS device with data retrieval app // Устройство macOS с приложением для извлечения данных
Data flow // поток данных
.
Введение
После состоявшегося недавно релиза технологии AirTags от Apple я заинтересовался, можно ли злоупотреблять системой оффлайнового поиска «Find My», чтобы загружать в Интернет произвольные данные с устройств, не подключенных к WiFi или мобильному интернету. Эти данные могли бы широковещательно транслироваться по Bluetooth с низким энергопотреблением и подхватываться устройствами Apple, расположенными поблизости. Эти устройства, стоит им подключиться к Интернету, сразу переправляли бы эти данные на сервера Apple, откуда их впоследствии можно извлечь. Такой прием мог бы использоваться небольшими сенсорами в неконтролируемых окружениях, чтобы не тратить лишнюю энергию на использование мобильного Интернета. Кроме того, она могла бы быть интересна для кражи данных из мест, защищенных клеткой Фарадея, стоит туда только заглянуть человеку с айфоном.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit
- AlinaTen: Сделка между OpenAI и Windsurf сорвалась — глава стартапа уходит в Google
- Kubernetes на базе Deckhouse в облаке Linx Cloud: встроенный мониторинг, безопасность и управление сертификатами
- Без(д)воз(д)мездно, то есть даром
- Настраиваем роутер и WiFi с VLAN в тоннель
- Новости кибербезопасности за неделю с 7 по 13 июля 2025
- Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google