Positive Security 联合创始人 Fabian Bräunlein 指出:苹果用于追踪 iOS / macOS 设备、以及新近推出的 AirTag 智能追踪器的 Find My 寻物 *** ,存在着信息泄露的安全隐患。他表示,在无需任何其它 *** 连接的情况下,苹果设备仍可借助无线传输功能,将数据从一个地方发送到另一个地方,比如位于地球另一端的一台计算机上。
具体说来是,Positive Security 已经提出了一种概念验证 *** ,可通过低功耗蓝牙(BLE)广播、以及为调制解调器设计的微控制器,来实现从无连接的苹果设备、向苹果的 iCloud 服务器发送有限数量的任意数据。
由博客文章上披露的细节可知,Fabian Bräunlein 成功地通过 Mac 应用程序,从云端下载到了验证数据。背后的原理是,只要你的苹果设备上激活了 Find My 寻物 *** ,它就会成为众包位置追踪系统的一员。
至于数据泄露的途径,首先是通过 BLE 将数据传输到附近的其它苹果设备,接着经由 *** 中继抵达苹果服务器。然后被授权的设备所有者能够使用基于 iCloud 的 Find My 客户端(iOS / macOS)来获取有关已注册硬件的位置报告。
来自达姆施塔特技术大学的 Alexander Heinrich、Milan Stute、Tim Kornhuber、以及 Matthias Hollick,在一篇研究文章中详细介绍了对 Find My 寻物 *** 安全性和隐私性的分析。
在此前开展的 OpenHaystack 项目(用于创建自己的寻物 *** 工具)工作的基础上,他们得以进一步开展名为“Send Me”的后续研究。新研究的目标,旨在验证 Find My *** 能够从无法联网的设备向互联网发送任意数据。
正如他们所预料的那样:“在不受控制的环境中,小型传感器可借助此类技术,来避免移动互联网的成本与功耗。只需通过 iPhone 用户的‘偶尔访问’,严密得像是法拉第笼的地方,也可能发生一些意想不到的数据泄露”。
最后,由于未能找到明确的 Find My 寻物 *** 的报告发送限制(每个报告超过 100 字节),这项功能或许也会被滥用至耗尽智能机用户的套餐流量。
(消息及封面来源:cnBeta)
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...
黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC...
Windows 10/11 系统中的 Windows 安全中心现在变得更令人安心了。正如微软操作系统安全和企业副总裁 David Weston 所宣布的那样,内置的免费 Windows 杀毒软件现在提供了一个新的选项,可以防止脆弱的驱动程序。只不过目前还没有在 Windows 11 系统中看到这个选...
一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其...
一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进...
虽然这家俄罗斯安全公司近几个月来已经失宠,但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件(没错,它真的叫阎罗王,字面上Yanluowang。)这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的,现在,卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费...