Локатор от Apple можно использовать для передачи украденных паролей

Екатерина Быстрова 07 Ноября 2023 - 12:00

Домашние пользователи

...

Злоумышленники могут использовать сервис для поиска устройств «Локатор» («Find My») от Apple для незаметной передачи конфиденциальной информации, похищенной кейлогерами, которые могут быть установлены в сторонние клавиатуры.

Сеть «Локатор» и соответствующее приложение используется для поиска «яблочных» устройств, которые владелец мог забыть в общественном месте. «Локатор» поможет найти iPhone, iPad, macOS-компьютеров, Apple Watch, AirPod и Apple Tag.

Для корректного функционирования сервису необходимы данные GPS и Bluetooth, которые собираются с миллионов устройств Apple. Именно так пользователи могут отследить даже те девайсы, которые отключены от Сети.

Утерянные устройства постоянно отправляют сигналы Bluetooth, перехватываемые находящимися рядом Apple-девайсами. Последние потом обезличенно отправляют геолокацию через сеть «Локатора».

Первой на возможность передачи произвольных данных с помощью «Локатора» обратила внимание команда исследователей из Positive Security. Два года назад специалисты даже опубликовали на GitHub PoC-утилиту «Send My». Считалось, что Apple с тех пор устранила проблему, однако на деле всё оказалось несколько сложнее.

Немецкие эксперты, выводы которых публикует Heise, разработали демонстрационный эксплойт в аппаратном виде. Специальное устройство должно продемонстрировать всем риски сети «Локатор».

Фактически исследователи интегрировали кейлогер с Bluetooth-передатчиком ESP32 в USB-клавиатуру, чтобы показать запись вводимых паролей и их последующую передачу по Bluetooth через «Локатор».

Передача данных по Bluetooth считается более незаметной, а «Локатор» в этом случае выступает отличным прикрытием для условных злоумышленников. Причём необязательно даже использовать AirTag или поддерживаемый чип, так как «яблочные» девайсы будут отвечать на любое Bluetooth-сообщение.

Отправителю придётся создать множество слегка отличающихся открытых ключей шифрования, которые будут имитировать определённое количество AirTag. Произвольные данные они будут шифровать в ключи и присваивать конкретные биты выделенным частям ключей.

Стоимость всей этой затеи, по словам специалистов, будет составлять около 50 долларов (4618 по текущему курсу).

Скорость передачи данных составила 26 символов в секунду.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 13:55

Соответствие законодательству РФ Домашние пользователи Государство

К 2029-му в России начнут отключать таксистов от агрегаторов за переработки

Российские власти хотят навести порядок с режимом труда и отдыха водителей такси. И нет, речь не о вежливой памятке. Водителей, которые нарушают правила, могут начать отключать от сервисов заказа такси.

Как сообщает ТАСС со ссылкой на утверждённый правительством РФ документ, власти проработают механизм, при котором агрегаторы смогут ограничивать доступ водителей к заказам.

Причиной может стать несоблюдение режима труда и отдыха, а также грубые или регулярные нарушения законодательства в сфере безопасности дорожного движения.

Проще говоря, если водитель работает на износ, игнорирует перерывы и превращает смену в марафон, его могут временно или полностью отрезать от платформы. Идея понятная: уставший водитель за рулём — это уже не герой труда, а потенциальная проблема на дороге.

Проработать меры должны Минтранс, МВД и региональные власти при участии самих сервисов такси. Срок — до 2029 года. После этого ожидается доклад в правительство.

Сейчас по закону нормальная продолжительность рабочей недели для водителей такси не должна превышать 40 часов. При пятидневке ежедневная смена должна быть не больше 8 часов. При суммированном учёте рабочего времени её можно продлить до 10–12 часов.

Есть и правило по перерывам: после каждых 4,5 часа за рулём водитель обязан отдыхать минимум 45 минут. Этот перерыв можно делить на части, но совсем игнорировать его нельзя.

Если механизм действительно заработает, агрегаторам придётся внимательнее следить не только за рейтингами и поездками, но и за тем, сколько водитель фактически проводит за рулём. А водителям — привыкать к мысли, что бесконечная смена может закончиться не премией, а отключением от сервиса.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!