La rete Find My di Apple, ideata e utilizzata per la localizzazione dei dispositivi smarriti o rubati, è stata oggetto di un sofisticato esperimento di sicurezza da parte di un gruppo di ricercatori della George Mason University, con lo sviluppo di un proof-of-concept denominato “nRootTag” che ha mostrato la capacità di sfruttare gli indirizzi Bluetooth di dispositivi non Apple per far credere a a Find My di avere a che fare con AirTag tracciabili.
Find My e gli AirTag sono basati sull’invio di segnali Bluetooth che vengono rilevati da dispositivi Apple nelle vicinanze, i quali a loro volta li ritrasmettono in modo anonimo i server Apple, consentendo al proprietario del dispositivo di conoscere la posizione dell’oggetto associato. I ricercatori hanno dimostrato come sia possibile ingannare la rete facendo credere che un dispositivo estraneo sia un AirTag.
Apple fa uso di un sistema crittografico per cambiare periodicamente gli indirizzi Bluetooth degli AirTag, rendendo difficile replicare questa funzione su hardware non autorizzato senza permessi di amministratore. I ricercatori hanno però sviluppato tecniche avanzate per generare chiavi compatibili con gli indirizzi Bluetooth esistenti, invertendo il processo adottato da Apple. Questo approccio sfrutta la fiducia implicita della rete Find My nei segnali dei dispositivi.
L’attacco si è rivelato estremamente efficace, con un tasso di successo del 90% e tempi operativi ridotti a pochi minuti. I ricercatori lo hanno messo alla prova su una vasta gamma di dispositivi e sistemi operativi, inclusi smart TV, visori VR e persino biciclette elettriche. In uno degli esperimenti condotti, un’e-bike è stata tracciata attraverso una città intera. L’aspetto più preoccupante è il fatto che l’attacco non richieda accesso profondo ai sistemi dei dispositivi bersaglio e possa essere eseguito da remoto via Internet senza che la vittima ne sia consapevole.
Il professor Qiang Zeng, che assieme al professor Lannan Luo ha coordinato il gruppo di ricercatori, ha sottolineato le implicazioni di un attacco di questo tipo: “E’ già spaventoso se il vostro smart lock viene compromesso, ma diventa ancora più terrificante se l’attaccante conosce anche la sua posizione”.
I ricercatori però, pur avendo dimostrato l’efficacia e la relativa semplicità della tecnica, riconoscono che sia necessario disporre di risorse non trascurabili per poterla mettere in atto: per accelerare il processo di cracking delle chiavi crittografiche, il team ha utilizzato centinaia di unità GPU noleggiate a basso costo, un metodo che può avere qualche similitudine al mining di Bitcoin. I risultati non corrispondenti possono essere salvati in un database e riutilizzati in futuro, rendendo l’attacco più efficiente nel tempo.
Proprio per via delle elevate risorse necessarie, è inverosimile e improbabile che questo attacco possa essere esercitato su larga scala contro il pubblico generico. Al contrario, questa tecnica potrebbe essere sfruttata agenzie di intelligence per attività mirate contro individui specifici.
La vulnerabilità è stata segnalata ad Apple a luglio dello scorso anno, seguendo i principi di divulgazione responsabile. Apple ha riconosciuto il problema nei suoi aggiornamenti di sicurezza ma non ha ancora reso noto come intenda risolverlo definitivamente. I ricercatori inoltre temono che la vulnerabilità possa persistere per lungo tempo a causa della bassa reattività con cui molti utenti procedono all’aggiornamento dei propri dispositivi.
I dettagli completi della ricerca saranno presentati in occasione della prossima edizione dell’USENIX Security Symposium in programma dal 13 al 15 agosto a Seattle.