首页 > 业界 > 关键词 > 苹果最新资讯 > 正文

研究人员成功利用苹果“Find My”网络来发送信息

2021-05-13 08:09 · 稿源:cnbeta

根据一名安全研究员Bräunlein的发现,一个漏洞允许在苹果的Find My网络中发送消息和额外的数据。安全研究员Fabian Bräunlein发现了一种利用苹果的Find My网络作为通用数据传输机制的方法,这会允许非互联网连接的设备通过使用附近的苹果设备为其上传数据来上传任意数据。

Find My网络使用所有活跃的iOS设备作为节点来传输位置数据,这样黑客便有可能模仿AirTag连接到Find My网络并广播其位置的方式,通过加密的广播发送它的位置,而当这个数据被替换成消息时,它可以被加密广播信息所掩盖了。

Bräunlein的实际演示显示了如何从运行定制固件的微控制器通过Find My网络发送短串文本,该文本通过一个定制的Mac应用程序接收,以解码和显示上传的数据。

目前还不清楚这个Find My网络的漏洞是否可以被恶意使用,或者它可能有什么有用的用途。由于该系统注重隐私和端到端加密的性质,苹果似乎很难防止这种意外的使用。

欲了解更多信息,请参阅Bräunlein的完整博文,其中详细解释了通过Find My网络传递任意数据背后的整个技术过程:

https://positive.security/blog/send-my

find-my-network-message-exploit.jpg

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • Qualcomm调制解调器存在漏洞黑客可以通过后门记录电话

    根据安全公司Check Point Research的一份最新报告,高通公司的移动站调制解调器(MSM)可能被黑客利用,并被用于记录电话等。MSM可追溯到20世纪90年代初,用于2G/3G/4G甚至5G设备,存在一个严重的漏洞,可以像发送短信一样容易地被远程黑客攻击不法分子可以监听用户电话,短信,甚至可以解锁SIM卡,以绕过运营商强加的任何限制。据报道,近30%的智能手机使用高通公司的芯片组,因此是潜在的攻击目标。用户目前唯一能做的就是让他们

  • 黑客大佬去世 年仅42岁:曾发现DNS漏洞拯救了互联网

    本周六,安全研究员 Marc Rogers 在推特上发布一则消息,称 Dan Kaminsky 已经去世。Marc Rogers 表示:我想现在已经无法掩饰了。昨天,我们失去了丹·卡明斯基。他是信息安全领域最耀眼的明星之一,也可能是我认识的最善良的灵魂。Dan Kaminsky 的生命,永远停在了 42 岁这一年。关于他的死亡原因,目前尚未公开。发现DNS漏洞,一战成名Dan Kaminsky 最早被大众所知,是在 2008 年。当时,他发现了互联网域名系统(DNS)的底层设?

  • 新版macOS修复重要安全漏洞苹果要求用户马上升级!

    如果你是苹果桌面电脑的用户,那么还是要第一时间去进行系统升级的。苹果刚刚发布的macOS 11.3的稳定版本,其中包含了一些新功能,以及针对某个已被恶意攻击者利用的大号安全漏洞的修复。基于此,除非出于兼容性的考量而坚持使用macOS Catalina,建议大家还是尽快通过系统偏好设置 - 软件更新”来获取并安装更新。对于M1 Mac用户来说,macOS 11.3 Big Sur更新还包含了针对在Mac上运行iPhone/iPad应用程序的优化。苹果之所以让大家?

  • 苹果:Epic的要求会威胁App Store的隐私、安全和质量

    在开庭辩护环节中,苹果公司表示相关的政策保护了 App Store 的隐私、安全和质量,并表示 Epic 的起诉只是为了不想继续向苹果支付佣金。苹果和 Epic Games 案件的审判已经于 5 月 3 日周一拉开序幕,双方都进行了激烈的开庭辩论。在苹果公司的开场陈述中,凯伦·邓恩(Karen Dunn)对 Epic Games 的论点提出了反驳。她说,《堡垒之夜》的收入已经开始停滞,但 Epic 没有创新,而是转向了诉讼。Dunn 说,“Epic没有雇用工程师,而是

  • 观点认为苹果公司的自有广告平台可以从iOS隐私保护机制的推动中获益

    苹果公司推出的 "应用追踪透明度"可能对其自身的广告业务有利,广告业高管称,与通过第三方平台相比,客户可以获得更多关于iOS设备的广告表现数据。苹果周一推出的 "应用追踪透明度"有可能限制营销公司从追踪潜在广告观众的在线活动中产生的数据量。虽然这可能最终影响到广告产生的收入数额,但它也可能有助于使苹果自己的广告平台成为一门更有吸引力的生意。根据广告行业的高管和其他观察家对《华尔街日报》的说法,ATT可能会给苹

  • 苹果iOS 14.5正式版来了:新增的隐私功能已被起诉

    今天凌晨开始(4月27日),iOS 14.5正式版推送。版本带来大量新功能,包括支持AirTag、佩戴Apple Watch可免面容ID解锁iPhone、iPhone 12的双卡双5G功能、支持Xbox Series X/PS5手柄、总共四种可选的Siri音色等。当然,其中还有一项相当关键的升级,即App跟踪透明度(ATT),简单来说,用户可控制哪些App可在其他公司的App和网站中跟踪您的活动以提供广告或共享给数据代理商。原来这项功能多被互联网广告公司用于大数据收集、用户画

  • 推特CFO:苹果iOS 14.5隐私采集许可新政策对其影响不大

    Twitter今天公布了2021年第一季度财报。财报显示,第一季度,Twitter营收为10.36亿美元,比去年同期的8.08亿美元增长28%,不计入汇率变动的影响为同比增长27%;净利润为6800万美元,相比之下去年同期的净亏损为840万美元。

  • CPR发现高通移动基站调制解调器存在漏洞,Android用户面临隐私泄露风险

    Check Point Research (CPR) 在高通移动基站调制解调器 (MSM) 中发现一个安全漏洞,全球近40% 的手机都使用该芯片进行蜂窝通信。该漏洞一旦遭到利用,攻击者便可将 Android 操作系统本身用作切入点,向手机注入隐形恶意代码,从而窃取对短消息和通话录音的访问权限。 ? 谷歌、三星、LG、小米和 One Plus 的高端手机都使用高通 MSM ? 攻击者还可以利用该漏洞解锁移动设备的 SIM 卡 ? CPR 已将该漏洞报告给高通,后者已确认和修复?

  • 苹果与Facebook的隐私之战正在演变成一场全面战争

    据外媒CNET报道,苹果和Facebook虽然都是科技行业最大的公司,但从表面上看,它们似乎非常不同。在苹果去年2745亿美元的销售额中,大部分来自iPhone、iPad、Mac电脑和AirPods耳机。而与此同时,Facebook销售的设备很少,其859亿美元的收入几乎全部来自其定向在线广告。但他们在一个领域有过交集,并且现在正在发生交集:使用其产品的用户的隐私。这导致了两家公司高管之间的激烈对抗。当地时间周一,苹果发布了iPhone和iPad的更新版

  • Twitter高管:苹果iOS 14.5隐私采集许可政策对其影响不大

    据国外媒体报道,在财报电话会议上,Twitter CFO Ned Segal表示苹果iOS 14.5隐私采集许可政策对推特影响不大。

  • Facebook:苹果应用追踪隐私对公司业务影响整体可控

    Facebook 今天宣布了 2021 年第 1 季度的营收情况,在讨论结果的电话会议上公司高管证实苹果的 App Tracking Transparency 将从第 2 季度开始对 Facebook 的业务产生“可控制”的影响。正如外媒 ZDNet 所报道的那样,Facebook 首席财务官 Dave Wehner 表示,Facebook 预计“由于监管和平台的变化,尤其是最近发布的iOS 14.5更新,针对广告的逆风将会增加”。App Tracking Transparency 在 iOS 14.5 更新中正式生效,APP 开发人员如

  • 坚守独立第三方原则,国双与行业共探苹果IDFA隐私新政解决方案

    近日,苹果公司发布了内测iOS14.5RC版,并表示iOS14.5 和 iPadOS14.5 正式版将在4 月的最后一周向公众开放。在新系统的诸多新功能中,最引人注目的无疑是ATT,即App Tracking Transparency,也就是一直以来引起争议的新隐私功能,即要求开发者必须获得允许才能跟踪用户进行广告定位。根据国双长期监测的数据来看,当前iOS14 占所有iOS系统的占比为86%,iOS14. 5 升级后将逐渐覆盖86%的苹果用户。ATT功能正式上线以后,IDFA获取率极

  • 苹果发布macOS Big Sur 11.3.1 修复已被利用的漏洞

    除了iOS 14.5.1,苹果公司还发布了macOS Big Sur 11.3的修正性质的更新,包含对两个漏洞的安全修复,该公司称这两个漏洞可能已经在外部被利用。macOS Big Sur 11.3.1更新现在可以通过OTA的方式提供给用户。这是一个相对较小的更新,没有新增任何面向用户的功能,但它包含苹果所说的"重要安全更新"。根据苹果的安全报告页面,macOS 11.3.1修复了WebKit中的一对漏洞,这些漏洞可能允许恶意制作的网页内容导致任意代码执行。苹果表示?

  • 苹果AirDrop存在安全漏洞 可以将电话号码和电子邮件暴露给陌生人

    苹果AirDrop中新发现的一个安全漏洞,自2019年以来一直存在,可以将你的电话号码和电子邮件暴露给陌生人。AirDrop被认为是苹果生态系统的最佳功能之一。它快速、方便,不需要巨大的学习曲线就可以开始使用。由于有了AirDrop,向另一个iPhone、iPad或Mac用户发送文件、照片和视频从未如此简单。然而,据达姆施塔特大学的研究人员称,AirDrop可以向陌生人透露用户的联系信息和电子邮件。这是通过AirDrop所经历的过程来实现的,以检查

  • 黑客组织从勒索软件网站上删除了被盗的苹果原理图和勒索威胁

    一个上周从苹果供应商广达电脑公司盗取原理图并威胁要公布文件库的勒索软件集团已神秘地从其暗网博客上删除了所有与勒索企图有关的内容。被称为REvil的勒索软件集团上周二声称,它已经进入了广达公司的内部电脑,并设法获得了一些未发布的苹果产品的图像和原理图。该组织最初要求广达支付5000万美元以恢复这些文件。然而,根据该黑客组织网站4月20日发布的声明,广达公司拒绝支付赎金,这导致犯罪分子转而向苹果公司要钱。为了证明

  • 苹果在macOS Big Sur 11.3中修复了一个大号安全漏洞

    经过三个月的 Beta 测试,苹果终于在近日向公众发布了 macOS 11.3 的稳定版本。可知其中包含了一些新功能,以及针对某个已被恶意攻击者利用的大号安全漏洞的修复。基于此,除非出于兼容性的考量而坚持使用 macOS Catalina,建议大家还是尽快通过“系统偏好设置 - 软件更新”来获取并安装更新。视频截图(来自:ZolloTech / YouTube)对于 M1 Mac 用户来说,macOS 11.3 Big Sur 更新还包含了针对在 Mac 上运行 iPhone / iPad 应用程

  • 苹果代工厂遭黑客勒索3.2亿!新品设计图疑泄露

    北京时间21日凌晨1点,号称“科技界春晚”的苹果2021新品发布会正式举行。本次发布会主角包括,紫色款iPhone 12/12 mini、M1处理器/最高16G+2T/mini LED显示屏/雷电4接口的iPad Pro、M1处理器的24寸iMac一体机、AirTag防丢追踪器以及Apple TV 4K等产品。今日,据媒体报道称,REvil黑客组织团伙已经窃取了苹果最新产品的设计图,黑客要求广达在4月27日前支付5000万美元(约合人民币3.2亿元)赎金,否则等到时限倒数结束后要支付1亿?

  • 谷歌计划效仿苹果App Store:明年为Play商店推出隐私标签功能

    Safety section 可以帮助用户了解App所收集的个人数据。应用开发者需要公开获取的信息类型以及这些信息会如何使用。Play 商店的应用界面也会告知该应用是否对用户数据采用加密等安全措施,App 是否遵循谷歌的政策,数据共享功能是否经过独立的第三方验证。除此之外,Play 商店还会详细标明应用是否允许用户删除此前的个人数据。

  • 比尔盖茨:希望我们的家庭能够获得空间和隐私

    5月4日消息,据国外媒体报道,当地时间4日凌晨,微软联合创始人比尔·盖茨在推特宣布与妻子梅琳达·盖茨离婚,结束了27年的婚姻。随后,比尔盖茨在微博发文称,在过去27年里,我们养育了三个出色的孩子,并且建立了一个在世界各地开展工作的基金会,致力于帮助所有人过上健康而富有成效的生活。比尔盖茨还表示我们不再认为在人生的下一阶段,我们能够作为夫妻携手成长。在开启这段新生活时,我们希望我们的家庭能够获得

  • 全球最大笔记本代工厂遭黑客勒索:称窃取苹果机密 索要巨额赎金

    臭名昭著的REvil勒索病毒又盯上了全球最大的大笔记本代工厂。据外媒报道,周二,REvil黑客组织公开宣称,入侵了著名笔记本代工厂广达电脑(Quanta Computer),称窃取了苹果的设计蓝图,索要5000万美元(约合人民币3.25亿元)赎金。据悉,广达电脑成立于1988年,是全球第一大笔记型电脑研发设计制造公司。与包括苹果、戴尔、惠普、黑莓等数十家全球大型科技公司有着密切的合作关系。今天,苹果公司刚刚召开了新品发布会。而REvil黑

  • 热门标签