L’ecosistema Apple è da sempre quello che dichiara di essere più sicuro ma c’è il rischio di mettere in bella mostra tutte le tue password. Ecco cosa non devi fare.
A quanto pare, secondo quanto scoperto da uno dei team più importanti che si occupano di sicurezza online, uno dei servizi più gettonati dagli utenti Apple, da chi per esempio possiede un iPhone ma non solo, non è a prova di hacker e anzi ci sarebbero alcune falle estremamente pericolose.
Al centro dell’esperimento che è stato portato avanti dal team Positive Security e in particolare dal gruppo guidato da Fabian Braunline il comodo servizio che permette agli utenti Apple che si trovano all’interno di uno stesso nucleo familiare di trovarsi rapidamente sulla mappa utilizzando non solo gli iPhone ma anche gli iPad, i Mac, gli Apple Watch e i molto chiacchierati e AirTag. Il risultato dell’esperimento è stato pubblicato anche su GitHub a riprova dell’analisi e della pericolosità di quanto scoperto.
Il servizio trovami di Apple è più pericoloso di quello che pensi
I motivi per cui si decide di creare un proprio piccolo ecosistema familiare sfruttando la funzione Trova Dispositivo di Apple possono essere diversi. Immaginando per esempio di avere figli che vanno a scuola lontano o che devono prendere diversi mezzi pubblici potrebbe essere un modo per stare più tranquilli potendoli seguire nel percorso che fanno per tornare a casa. Ma senza scomodare gli affetti familiari, se per esempio viaggi molto per lavoro e porti con te diversi device potrebbe capitarti di lasciarne qualcuno in un bar di una stazione.
Grazie al sistema trovami di Apple ci sono buone probabilità di ritrovare il device e magari far scattare le manette per il ladro occasionale. Un sistema che però, secondo quanto scoperto dal gruppo Positive Security, può essere facilmente bucato e utilizzato per trasmettere tutta una serie di dati relativi al device oggetto dell’attacco o raccoglierli. Questo significa che c’è, ancora e nonostante gli allarmi già lanciati dallo stesso gruppo, un problema di sicurezza. Il sistema che è stato messo su è piuttosto rudimentale ma il modo con cui ha funzionato fa rabbrividire.
Ovviamente è stato necessario costruire un pezzo hardware a scopo dimostrativo unendo un trasmettitore Bluetooth ESP32 con un keylogger e unire tutto a una tastiera USB per verificare i passaggi di dati attraverso il Bluetooth. Ma perché il Bluetooth? Perché a quanto pare si tratta di un sistema che riesce a passare molto più inosservato rispetto a keylogger che sfruttano la WLAN o i dispositivi Raspberry Pi.
E la cosa più pericolosa in assoluto è che l’esperimento ha dimostrato che non c’è stato bisogno di avere un dispositivo Apple o di fingere di avere un dispositivo Apple per far partire la comunicazione, dato che tutti i device sono progettati per rispondere a qualunque segnale Bluetooth. Morale della favola? Se non è strettamente necessario meglio disabilitare il sistema o almeno spegnere il Bluetooth.