Исследователь продемонстрировал эксперимент, неприятно удививший многих пользователей яблочной продукции.
На крупнейшей в мире хакерской конференции Def Con участники уже привыкли к разного рода экспериментам с электронными гаджетами. Например, к стене из мониторов, демонстрирующих пароли, перехваченные по Wi-Fi сети конференции. Однако в этом году даже бывалых хакеров удивили и обеспокоили всплывающие на их iPhone сообщения с просьбой подключить Apple ID или поделиться паролем с рядом находящимся Apple TV.
Как выяснилось, эти оповещения были частью исследовательского проекта, преследующего две цели. Во-первых, напомнить участникам, что для полного отключения Bluetooth на iPhone необходимо сделать это из настроек устройства, а не просто отключить его в центре управления. А во-вторых, просто развлечься и пошутить, по словам автора эксперимента — исследователя безопасности Джея Бокса. Он ходил по территории конференции со специально созданным устройством в сумке и вызывал появление всплывающих окон на смартфонах посетителей.
https://www.securitylab.ru/upload/me...dmzrn0nm6a.png
Пост одного из посетителей Def Con
Для проведения эксперимента Боксу потребовались: Raspberry Pi, две антенны, Bluetooth-адаптер и внешний аккумулятор. С их помощью он смог воспользоваться особенностями протоколов Bluetooth от Apple, которые позволяют устройствам компании «общаться» друг с другом на небольших расстояниях. Исследователь сосредоточился на функциях, запускающих различные действия и уведомления на экране iPhone при нахождении рядом других гаджетов Apple.
https://www.securitylab.ru/upload/me...nlfbh9yeq8.png
https://www.youtube.com/watch?v=xaCPLY-RyXE
Хотя устройство, созданное исследователем, не было запрограммировано на сбор каких-либо данных со смартфонов, теоретически такая возможность у него имелась. По словам Бокса, если бы владельцем устройства был злоумышленник, а не этичный исследователь, то с помощью такой уловки он мог бы перехватить Apple ID, пароли и другую конфиденциальную информацию пользователей.
Сам Бокс считает, что Apple вряд ли станет что-либо менять в своих протоколах, поскольку текущее поведение Bluetooth нужно для совместимости и взаимодействия iPhone с другими устройствами экосистемы, такими как наушники AirPods и умные часы Apple Watch, что в народе часто называют «магией Apple».
Возможно, компания могла бы лишь добавить предупреждение в центре управления iOS, что простое отключение Bluetooth там не гарантирует его полную блокировку и защиту от подобных хакерских экспериментов. Чтобы быть полностью защищённым от устройств вроде продемонстрированного Боксом на Def Con, пользователям iPhone рекомендуется выключать Bluetooth через настройки устройства, а не через центр управления.
Представители Apple пока не ответили на запросы о комментарии по поводу данного исследования и возможных мерах безопасности.