Apple Dov'è sfruttabile per rubare password e dati personali

Apple Dov’è, in inglese “Find My“, è una funzionalità di localizzazione che consente agli utenti di individuare i propri dispositivi smarriti o rubati: iPhone, iPad, Mac, Apple Watch, AirPod ed Apple Tags. Questo strumento poggia su una rete che combina l’utilizzo di Bluetooth e dei servizi di geolocalizzazione (GPS compreso) per individuare dispositivi segnalati come non più sotto il diretto controllo del legittimo proprietario, anche quando si trovano offline.

Quando un dispositivo è indicato come smarrito, inizia a inviare messaggi Bluetooth con regolarità. Le comunicazioni sono rilevabili da altri dispositivi Apple nelle vicinanze (anche se appartenenti ad altri utenti): essi agiscono come nodi o relay che in modo anonimo trasmettono la posizione dell’oggetto smarrito attraverso la rete “Dov’è”. La Mela ha creato una rete di localizzazione distribuita che sfrutta la presenza diffusa di dispositivi Apple in tutto il mondo.

La rete Apple Dov’è può essere sfruttata da utenti malintenzionati: ecco come

Era il mese di maggio 2021 quando i ricercatori di Positive Security descrissero una modalità di aggressione che sfruttava la rete Dov’è come supporto per l’invio di informazioni arbitrarie, non previste da Apple.

I ricercatori pubblicarono su GitHub anche il codice sorgente di Send My, applicazione progettata per sfruttare la rete Apple in modo da consentire il caricamento di dati anche da dispositivi che non connessi a Internet. La presenza di dispositivi Apple nelle vicinanze permetteva di inoltrare tali dati e abusare del meccanismo alla base di Apple Dov’è. Alla problematica avevamo dedicato un intero articolo spiegando che dispositivi diversi dagli AirTag e dagli altri device Apple possono comunque scambiare dati sulla rete Dov’è.

L’applicazione Send My è composta da due parti: il firmware per microcontrollore ESP32 e il data fetcher ovvero il modulo utilizzato per recuperare, decodificare e visualizzare i dati caricati sulla rete.

Un keylogger può abusare del meccanismo per inviare le password degli utenti attraverso la rete Dov’è

I colleghi di Heise c’t hanno dimostrato che il meccanismo risulta perfettamente funzionante ancora oggi. Per rendere l’attacco ancora più evidente, i tecnici hanno utilizzato una tastiera USB standard modificata con l’aggiunta del keylogger EvilCrow. Dal punto di vista tecnico, la tastiera – collegata al sistema dal quale si desiderano sottrarre password e altri dati riservati – è equipaggiata con un trasmettitore Bluetooth ESP32.

Facendo perno sul sistema Apple Dov’è, un aggressore remoto può ricevere tutte le informazioni digitate dall’utente sulla tastiera USB modificata, comprese password e credenziali di accesso.

Questo approccio, che prevede il trasferimento dei dati via Bluetooth, è decisamente più furtivo rispetto ad altre metodologie di attacco. Infatti, le attività svolte da dispositivi collegati con la rete aziendale (ad esempio via WiFi o tramite cavo Ethernet) sono facilmente rilevabili all’interno di contesti ben protetti. Viceversa, un’aggressione come quella descritta tende a passare inosservata perché i dati non transitano sulla rete aziendali ma sono trasferiti verso soggetti terzi appoggiandosi a un network esterno, qual è Apple Dov’è.

L’attacco funziona perché se il messaggio è formattato in modo appropriato, come richiesto da Apple Dov’è, il dispositivo Apple ricevente crea un rapporto sulla posizione del client e provvede a condividerlo online, insieme con le informazioni accessorie ricevute in input. Inoltre, il trasferimento dei dati può potenzialmente avvenire con qualunque dispositivo non facente uso di chip supportati da Apple: ne è chiara testimonianza l’uso di una tastiera USB con modulo Bluetooth personalizzato.

Gli unici svantaggi hanno a che fare con le prestazioni

I ricercatori spiegano che nella loro dimostrazione l’attacco ha funzionato con una velocità di trasmissione pari a 26 caratteri al secondo. In ricezione la velocità rilevata è di 7 caratteri al secondo, con una latenza compresa tra 1 e 60 minuti, a seconda della presenza o meno di dispositivi Apple nel raggio d’azione del keylogger.

Il processo è evidentemente scarsamente performante ma se l’obiettivo di un aggressore fosse quello di impossessarsi di informazioni preziose come le password, attendere diverse ore o addirittura giorni non sarebbe un problema.

Le protezioni anti-tracciamento di Apple, che avvisano gli utenti circa la presa di un AirTag sconosciuto nelle vicinanze, non vengono attivate dal keylogger all’interno della tastiera USB modificata: il dispositivo rimane nascosto ed è quindi altamente improbabile che venga scoperto.

Al momento Apple non ha ancora rilasciato una dichiarazione ufficiale sul tema. Uno dei ricercatori che aveva per la prima volta acceso un faro sul problema, Fabian Bräunlein, invita ad alzare la guardia sottolineando che per gli aggressori l’attacco è anche molto economico: la tastiera USB attrezzata con il keylogger e il modulo Bluetooth ESP32 non costa più di 50 euro.

Di recente abbiamo presentato la storia di un manager piuttosto conosciuto che esorta gli utenti a usare la funzione Dov’è di Apple per non perdere il controllo sui propri dispositivi macOS.