Apple Find My Devices podría exponer los historiales de ubicación de los usuarios

Recientemente, analistas de ciberseguridad han detectado dos fallas discretas en el sistema de seguimiento de ubicación de Bluetooth de colaboración colectiva de Apple o en la función Find My.

Estas dos fallas pueden permitir que cualquier atacante acceda sin autorización a los historiales de ubicación de los usuarios de los últimos siete días. Sin embargo, todos sabemos que Apple ha convertido su entorno de cientos de millones de dispositivos en la red de seguimiento de ubicación de colaboración colectiva más completa del mundo conocida como búsqueda fuera de línea (OF).

El motivo principal de OF es garantizar el anonimato del buscador, la imposibilidad de rastrear los dispositivos del propietario y la confidencialidad de los informes de ubicación. Estas fallas son bastante críticas ya que los analistas afirmaron que los resultados son una revisión exhaustiva que ha sido realizada por Open Wireless Link.

¿Cómo funciona Find My?

Los dispositivos de Apple son bastante complicados de entender, ya que tienen una función llamada Find My que ayuda a los usuarios a localizar fácilmente otros dispositivos de Apple como iPad, iPhone, iPod touch, Apple Watch, AirPods y Mac.

Apple ha estado actualizando continuamente su iOS y ahora espera agregar soporte para dispositivos de rastreo Bluetooth llamados AirTags.

Estos AirTags se adjuntan a elementos como llaves y billeteras, que luego se pueden usar con fines de seguimiento directamente desde la aplicación Find My.

Seguimiento de problemas y acceso no autorizado al historial de ubicaciones

Según el investigador, Apple no puede descifrar la ubicación ya que no tiene ningún acuerdo con la clave privada.

Pero los investigadores de OWL afirmaron que el diseño habilita a Apple en lugar de ser el proveedor de servicios para que pueda correlacionar las ubicaciones de los diferentes propietarios si sus ubicaciones son anunciadas por los mismos dispositivos de búsqueda.

Permite de manera eficiente a Apple crear lo que ellos llaman un gráfico social. Mientras que la vulnerabilidad de macOS Catalina CVE-2020-9986 podría permitir que un actor de amenazas acceda a las claves de descifrado. 

Y al usarlos, los usuarios pueden descargar y descifrar los informes de ubicación que han sido licitados por la red Find My y finalmente ubicar e identificar a sus víctimas con alta autoridad.

Según los investigadores de ciberseguridad, han detectado una vulnerabilidad de la implementación de OF en macOS que permite una aplicación maliciosa (A1) para que pueda eludir eficazmente la API de ubicación limitada de Apple.

Después de localizarlo, los piratas informáticos pueden acceder a la geolocalización de todos los dispositivos propietarios sin el consentimiento del usuario. Además, los informes de ubicación histórica se pueden aprovechar para generar un perfil de movilidad diferente y reconocer al usuario.