В системе отслеживания местоположения Bluetooth от Apple, используемой в том числе в смартфонах iPhone, нашли уязвимость, которая позволяла вычислять местоположение людей. Об этом в своей статье рассказали исследователи кибербезопасности из Secure Mobile Networking Lab.
По их словам, злоумышленники могли получить несанкционированный доступ к истории местоположений пользователей за неделю. Для этого нужно было воспользоваться брешами в функции Find My, которая также используется на планшетах iPad, плеерах iPod touch, умных часах Apple Watch, компьютерах Mac и беспроводных наушниках AirPods.
Функция отслеживания местоположения передает сигналы Bluetooth Low Energy (BLE) с устройств Apple. Таким образом устройства передают сигналы на сервера корпорации, позволяя определять в том числе расстояние друг от друга.
Уязвимость могла позволить злоумышленнику получить доступ к ключам дешифрования, чтобы загрузить данные о местоположении, а затем их расшифровать. Другая брешь работала на основе создания поискового трекера AirTag. Эта возможность доступна любому юзеру. Фреймворк под названием OpenHaystack позволял отслеживать личные Bluetooth-устройства и создавать собственные теги, в теории давая возможность вычислять устройства нужных владельцев по созданным тегам. По словам экспертов, Apple уже исправила обе проблемы.