[[399594]]

 Positive Security 聯(lián)合創(chuàng)始人 Fabian Br?unlein 指出： 蘋果用于追蹤 iOS / macOS 設(shè)備、以及新近推出的 AirTag 智能追蹤器的 Find My 尋物網(wǎng)絡(luò)，存在著信息泄露的安全隱患。 他表示，在無需任何其它網(wǎng)絡(luò)連接的情況下，蘋果設(shè)備仍可借助無線傳輸功能，將數(shù)據(jù)從一個(gè)地方發(fā)送到另一個(gè)地方，比如位于地球另一端的一臺(tái)計(jì)算機(jī)上。

[[399595]]

具體說來是，Positive Security 已經(jīng)提出了一種概念驗(yàn)證方法，可通過低功耗藍(lán)牙(BLE)廣播、以及為調(diào)制解調(diào)器設(shè)計(jì)的微控制器，來實(shí)現(xiàn)從無連接的 蘋果 設(shè)備、向蘋果的 iCloud 服務(wù)器發(fā)送有限數(shù)量的任意數(shù)據(jù)。

由博客文章上披露的細(xì)節(jié)可知，F(xiàn)abian Br?unlein 成功地通過 Mac 應(yīng)用程序，從云端下載到了驗(yàn)證數(shù)據(jù)。背后的原理是，只要你的蘋果設(shè)備上激活了 Find My 尋物網(wǎng)絡(luò)，它就會(huì)成為眾包位置追蹤系統(tǒng)的一員。

至于數(shù)據(jù)泄露的途徑，首先是通過 BLE 將數(shù)據(jù)傳輸?shù)礁浇钠渌O果設(shè)備，接著經(jīng)由網(wǎng)絡(luò)中繼抵達(dá)蘋果服務(wù)器。然后被授權(quán)的設(shè)備所有者能夠使用基于 iCloud 的 Find My 客戶端(iOS / macOS)來獲取有關(guān)已注冊硬件的位置報(bào)告。

來自達(dá)姆施塔特技術(shù)大學(xué)的 Alexander Heinrich、Milan Stute、Tim Kornhuber、以及 Matthias Hollick，在一篇研究文章中詳細(xì)介紹了對(duì) Find My 尋物網(wǎng)絡(luò)安全性和隱私性的分析。

在此前開展的 OpenHaystack 項(xiàng)目(用于創(chuàng)建自己的尋物網(wǎng)絡(luò)工具)工作的基礎(chǔ)上，他們得以進(jìn)一步開展名為“Send Me”的后續(xù)研究。新研究的目標(biāo)，旨在驗(yàn)證 Find My 網(wǎng)絡(luò)能夠從無法聯(lián)網(wǎng)的設(shè)備向互聯(lián)網(wǎng)發(fā)送任意數(shù)據(jù)。

正如他們所預(yù)料的那樣：“在不受控制的環(huán)境中，小型傳感器可借助此類技術(shù)，來避免移動(dòng)互聯(lián)網(wǎng)的成本與功耗。只需通過 iPhone 用戶的‘偶爾訪問’，嚴(yán)密得像是法拉第籠的地方，也可能發(fā)生一些意想不到的數(shù)據(jù)泄露”。

最后，由于未能找到明確的 Find My 尋物網(wǎng)絡(luò)的報(bào)告發(fā)送限制(每個(gè)報(bào)告超過 100 字節(jié))，這項(xiàng)功能或許也會(huì)被濫用至耗盡智能機(jī)用戶的套餐流量。