Rede "Find my" da Apple pode ser abusada para exfiltrar passwords roubadas

Investigadores demonstraram como é possível usar a rede "Find my" de localização da Apple para comunicar dados roubados de equipamentos infectados.

Um dos grandes desafios para quem se dedica ao roubo de dados, especialmente em computadores desligados da internet, é que para além de terem que arranjar forma de o infectar, também têm que arranjar forma de extrair os dados roubados. No passado já vimos formas criativas, através de coisas como LEDs a piscar na placa de rede, ou no teclado; mas esta nova técnica torna-se praticamente impossível de detectar.

A rede Find My utiliza comunicações Bluetooth para identificar dispositivos perdidos nas imediações, e reportar a sua localização no caso de se tratar de um dispositivo que tenha sido dado como perdido. Neste caso, os investigadores criam falsos relatórios, simulando serem diferentes AirTags, e onde cada um deles codifica dados binários diferenciados. A velocidade de transmissão é reduzida, podendo ser inferior a uma dezena de bytes por segundo, e podendo ser necessário aguardar até uma hora para receber os dados - mas, assumindo que o objectivo era roubar uma password, até uma password com uma centena de bytes poderá ser facilmente transmitida por este método.

Note-se que este ataque não tira partido de qualquer vulnerabilidade em computadores Mac, iPhones ou iPads, apenas tira partido da rede Find My como método de comunicação entre um dispositivo de roubo de dados (neste caso, um teclado com um keylogger integrado) e os atacantes, sem recorrer a qualquer ligação directa à internet.

Ainda por cima, uma vez que os "falsos AirTag" estão num local fixo e não seguem os utilizadores, estes não serão notificados de que existem dispositivos desconhecidos a segui-los - o alerta que a Apple implementou para combater o uso de AirTags para seguir pessoas secretamente sem o seu conhecimento ou consentimento.