Apples ‘Find My’ maakt Android-telefoons kwetsbaar voor spionage
Steeds meer apparaten ondersteunen het Vind Mijn-netwerk (Find My) van Apple, dat ook wordt gebruikt om AirTags, AirPods en iPhones op te sporen. Juist omdat zoveel apparaten eraan deelnemen, is de kans groot dat je verloren spullen worden teruggevonden. Tegelijkertijd verwacht je dat Apple de beveiliging van zo’n populaire dienst op peil houdt. Hackers kunnen de gegevens van Find My immers misbruiken om gebruikers te volgen, benadrukken ook de onderzoekers van de George Mason University, die dit lek in het Vind Mijn-netwerk hebben ontdekt.
Dit lek maakt het mogelijk om vrijwel elk apparaat, waaronder Android-telefoons, te veranderen in een AirTag, die via het Vind Mijn-netwerk kan worden opgespoord. Normaal gesproken beschermt het zoeknetwerk tegen dit soort hackaanvallen, maar de onderzoekers ontdekten dat deze beveiligingsmaatregelen kunnen worden omzeild door de cryptografische code van AirTags te kraken. Dat lukte ze niet zomaar: een gigantische GPU-opstelling was nodig om de beveiliging te kraken.
Vervolgens lukte het de onderzoekers om een flexibele sleutel te genereren die dienstdoet als AirTag. In maar liefst 90% van de gevallen slaagden ze erin om een Android-telefoon of ander apparaat met bluetooth als AirTag te laten verschijnen in het Vind Mijn-netwerk. Hiervoor hoeft de sleutel alleen aan een te traceren apparaat te worden gekoppeld. Wanneer dit lukt, wordt de locatie van het apparaat automatisch doorgestuurd naar de iCloud-servers zodra een Find My-apparaat in de buurt komt.
Dat dit een ernstige kwetsbaarheid is, moge duidelijk zijn: de locatie van gebruikers kan op deze manier zonder hun medeweten worden gevolgd. Opvallend is ook de nauwkeurigheid van deze methode. De onderzoekers konden de locatie van een computer tot op drie meter (tien voet) nauwkeurig bepalen. Daarnaast bleek het mogelijk om een complete fietstocht door een stad vast te leggen, evenals de vliegroute van een persoon, uitsluitend op basis van de locatiegegevens van een gameconsole.
Nog geen oplossing
Apple zou inmiddels al bijna een jaar op de hoogte zijn van het lek in het Find My-netwerk, maar heeft nog geen oplossing uitgebracht. Daarom brengen de onderzoekers het probleem nu openbaar in kaart, in de hoop dat Apple alsnog actie onderneemt.
Totdat een software-update beschikbaar komt, blijven vrijwel alle apparaten met bluetooth kwetsbaar voor het lek. Zelfs als er een oplossing komt, is het de vraag hoe snel dit effect heeft. Het duurt immers vaak enige tijd voordat gebruikers zo’n update op hun apparaat installeren.
