روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ایرتگ‌ها دستگاه‌های محبوب ردیابی هستند که همه از صاحبان فراموشکار کلیدها تا آن‌هایی که قصد و منظور بد و شروری دارند مانند نامزدهای حسود و سارقین خودرو از آن‌ها استفاده می کنند. استفاده از ایرتگ‌ها برای جاسوسی سادهاست: یک تگ مخفیانه روی تارگت قرار داده می‌شود تا حرکاتشان به طور راحتی با استفاده از Apple Find My نظارت شود. حتی ما به محصولات اندرویدی خود محافظتی از ردیابی مبتنی بر ایرتگ اضافه کرده‌ایم. اما تحقیقات اخیر توسط محققین امنیتی به طور غافلگیرانه‌ای نشان داده ردیابی ریموت حتی به خرید ایرتگ یا به طور فیزیکی نزدیک بودن به تارگت هم بستگی ندارد. اگر قصد دارید بدافزار جاسوسی خاصی را وارد دستگاه ویندوزی، اندرویدی یا لینوکسی کسی (مانند کامپیوتر یا گوشی) کنید، می‌تواند از بلوتوث دستگاه استفاده کند تا سیگنالی را ارسال کند که دستگاه‌های اپلِ اطراف گمان می‌کند دارد از ایرتگ می‌آید. اساساً، برای دستگاه‌های اپل، تلفن یا رایانه آلوده عملاً به یک AirTag بزرگ تبدیل می‌شود - قابل ردیابی از طریق شبکه Find My، که دارای بیش از یک میلیارد تلفن و تبلت اپل است.

آناتومی حمله

این حمله از دو ویژگی فناوری Find My استفاده می‌کند. نخست، این شبکه از رمزگذاری سرتاسری استفاده می‌کند – بنابراین شرکت‌کنندگان نمی‌دانند سیگنال‌های چه کسی را ارسال می‌کنند. برای تبادل اطلاعات، ایرتگ و تلفن صاحب آن به یک جفت کلید رمزنگاری متکی هستند. هنگامی که یک ایرتگ گم‌شده «نشانه‌های تماس» خود را از طریق بلوتوث پخش می‌کند، «ردیاب‌های» شبکه من را پیدا کنید (یعنی هر دستگاه اپل با بلوتوث و دسترسی به اینترنت، صرف نظر از مالکیت آن) به سادگی داده‌های موقعیت جغرافیایی ایرتگ را به سرورهای اپل منتقل می‌کند. داده‌ها با کلید عمومی گمشده ایرتگ رمزگذاری می شوند. سپس، هر دستگاهی می‌تواند داده‌های مکان رمزگذاری‌شده را از سرور بخواهد. و چون رمزگذاری شده است، اپل نمی‌داند سیگنال متعلق به چه کسی بوده یا دستگاهی که آن را درخواست کرده است.  نکته مهم در اینجا این است که تنها می‌توان داده‌ها را رمزگشایی کرد و با داشتن کلید خصوصی مربوطه متوجه شد که ایرتگِ کیست و مکان دقیق آن کجاست. بنابراین، این داده ها فقط برای صاحب گوشی هوشمند جفت شده با این AirTag مفید است.

یکی دیگر از ویژگی های Find My این است که شناساگرها تأیید نمی کنند که آیا سیگنال مکان واقعاً از یک دستگاه Apple منشاء گرفته است یا خیر. هر دستگاهی که از بلوتوث کم انرژی BLE) ) پشتیبانی می‌کند، می تواند آن را پخش کند. برای بهره‌برداری از این ویژگی‌ها، محققین روش زیر را ارائه کردند:

•         آنها بدافزار را روی رایانه، تلفن یا دستگاه دیگری که دارای Android، Windows یا Linux است نصب و آدرس آداپتور بلوتوث را بررسی می‌کنند.
•         سرور مهاجمان اطلاعات را دریافت می‌کند و از کارت‌های ویدیویی قدرتمند برای تولید یک جفت کلید رمزگذاری خاص برای آدرس بلوتوث دستگاه و سازگار با Find My اپل استفاده می‌کند.
•         کلید عمومی به دستگاه آلوده بازگردانده می‌شود و بدافزار سپس شروع به ارسال پیام بلوتوثی می‌کند که سیگنال های AirTag را تقلید کرده و شامل این کلید می‌شود.
•         هر دستگاه اپل در نزدیکی متصل به اینترنت، پیام بلوتوث را دریافت کرده و آن را به Find My ارسال می‌کند.
•         سرور مهاجم از کلید خصوصی برای درخواست مکان دستگاه آلوده از Find My و رمزگشایی داده ها استفاده می‌کند.

ردیابی چقدر خوب کار می‌کند؟

هرچه تعداد دستگاه‌های اپل در نزدیکی بیشتر و حرکت قربانی کندتر باشد، دقت و سرعت ردیابی مکان بهتر است. در محیط‌های شهری معمولی مانند خانه‌ها یا ادارات، مکان معمولاً در عرض شش تا هفت دقیقه و با دقت حدود سه متر مشخص می‌شود. حتی در شرایط شدید، مانند حضور در هواپیما، ردیابی همچنان ممکن است رخ دهد زیرا اکنون دسترسی به اینترنت به طور گسترده در پروازها در دسترس است. محققین در طول یک پرواز 90 دقیقه ای 17 نقطه موقعیت جغرافیایی را به دست آوردند که به آنها اجازه می داد مسیر پرواز هواپیما را کاملاً دقیق بازسازی کنند.

 به طور طبیعی، موفقیت حمله به این بستگی دارد که آیا قربانی می تواند به بدافزار آلوده شود یا خیر، و جزئیات بسته به پلت‌فرم کمی متفاوت است. در دستگاه‌های لینوکس، حمله تنها به آلوده کردن ابزار قربانی به دلیل اجرای بلوتوث خاص نیاز دارد. در مقابل، اندروید و ویندوز از تصادفی‌سازی آدرس بلوتوث استفاده می‌کنند، به این معنی که مهاجم باید دو دستگاه بلوتوث مجاور را آلوده کند: یکی به عنوان هدف ردیابی (هدفی که از ایرتگ تقلید می‌کند) و دیگری برای به دست آوردن آدرس آداپتور آن.

برنامه مخرب به دسترسی بلوتوث نیاز دارد، اما دریافت آن سخت نیست. بسیاری از دسته‌بندی‌های رایج برنامه - مانند پخش‌کننده‌های رسانه، ابزارهای اشتراک‌گذاری فایل، و حتی برنامه‌های پرداخت- اغلب دلایل قانونی برای درخواست آن دارند. این احتمال وجود دارد که یک برنامه طعمه متقاعد کننده و کاربردی برای این نوع حمله ایجاد شود، یا حتی یک برنامه موجود تروجانیزه شود. این حمله نه به مجوزهای مدیریتی و نه به دسترسی ریشه نیاز دارد. نکته مهم این است که ما فقط در مورد تلفن‌ها و رایانه‌ها صحبت نمی‌کنیم: این حمله در طیف وسیعی از دستگاه‌ها - از جمله تلویزیون‌های هوشمند، عینک‌های واقعیت مجازی و سایر لوازم خانگی - مؤثر است، زیرا اندروید و لینوکس در بسیاری از آنها سیستم‌عامل‌های رایج هستند. یکی دیگر از بخش های کلیدی حمله شامل محاسبه کلیدهای رمزنگاری روی سرور می‌شود. با توجه به پیچیدگی این عملیات - که نیازمند اجاره سخت افزار با کارت های ویدئویی مدرن است - هزینه تولید یک کلید برای یک قربانی تنها حدود 2.2 دلار تخمین زده می‌شود. به همین دلیل، سناریوهای ردیابی انبوه را که مثلاً بازدیدکنندگان داخل یک مرکز خرید را هدف قرار می‌دهند، بعید می دانیم. با این حال، حملات هدفمند در این قیمت تقریباً برای هر کسی، از جمله کلاهبرداران یا همکاران و همسران فضول قابل دسترسی است.

پاسخ اپل

این شرکت آسیب‌پذیری شبکه Find My را در دسامبر 2024 در iOS 18.2، visionOS 2.2، iPadOS 17.7.3 (برای دستگاه‌های قدیمی‌تر) و 18.2 (برای دستگاه‌های جدیدتر)، watchOS 11.2، tvOS 18.2، macOS Ventura 13.7.2aquo, macOS 13.7.2aquo, macOS 13.7.2, macOS 13.7.7. 15.2.  متأسفانه، همانطور که اغلب در مورد اپل اتفاق می‌افتد، جزئیات به روز رسانی‌ها فاش نشده است. محققان تاکید می‌کنند که این روش ردیابی تا زمانی که همه کاربران اپل حداقل به نسخه‌های بالا به‌روزرسانی شوند، از نظر فنی امکان‌پذیر خواهد بود، اگرچه دستگاه‌های کمتری می‌توانند مکان دستگاه ردیابی شده را گزارش کنند. و غیرممکن نیست که پچ اپل با یک ترفند مهندسی دیگر شکست بخورد.

راهکارهای امنیتی

•         اگر بلوتوث را در اختیار دارید، وقتی از بلوتوث استفاده نمی‌کنید، آن را خاموش کنید.
•         هنگام نصب برنامه‌ها، فقط از منابع قابل اعتماد استفاده کنید. بررسی کنید که این برنامه برای مدت طولانی در دسترس بوده و در آخرین نسخه خود دارای بارگیری‌های زیاد و رتبه بالایی است.
•         فقط در صورتی به برنامه‌ها اجازه دسترسی به بلوتوث و موقعیت مکانی را بدهید که مطمئن هستید به آن ویژگی‌ها نیاز دارید.
•         به طور مرتب دستگاه خود را به روز کنید: هم سیستم عامل و هم برنامه‌های اصلی.
•         مطمئن شوید که راهکار محافظتی جامع بدافزار را در همه دستگاه‌های خود فعال کرده‌اید. ما کسپرسکی پریمیوم را پیشنهاد می‌کنیم.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.