Az Apple 2019 óta tudja, hogy az AirDrop-felhasználókat nyomon lehet követni

Biztonsági kutatók már 2019-ben figyelmeztették az Apple-t az AirDrop vezeték nélküli megosztási funkcióban lévő sebezhetőségekre, amelyeket a kínai hatóságok állításuk szerint a közelmúltban arra használtak fel, hogy lenyomozzák a funkció felhasználóit - mondták el kutatók. Az ügynek szakértők szerint átfogó következményei vannak a globális magánéletre nézve.

Az AirDrop lehetővé teszi, hogy az egymáshoz közel lévő Apple-felhasználók a Bluetooth és egyéb vezeték nélküli kapcsolatok saját fejlesztésű keveréke segítségével megosszák a fájlokat anélkül, hogy csatlakozniuk kellene az internethez. A megosztási funkciót hongkongi demokráciapárti aktivisták használták, és a kínai kormány nem hagyta ki a lehetőséget azonosításukra. Az Apple nyilvánvaló tétlensége a hibák kezelésére régi aggodalmakat elevenített fel amerikai törvényhozókban és adatvédőkben az Apple Kínával való kapcsolatával és az autoriter rezsimek azon képességével kapcsolatban, hogy az amerikai technológiai termékeket a saját céljaik érdekében kiforgassák.

Egy kínai technológiai cég, a pekingi székhelyű Wangshendongjian Technology képes volt kompromittálni az AirDropot, hogy azonosítani tudja a pekingi metróban a "nem megfelelő információk" megosztásával vádolt felhasználókat - közölték a pekingi igazságügyi hatóságok. Bár a kínai tisztviselők az esetet hatékony bűnüldözési technikaként ábrázolták, az internetszabadság szószólói sürgetik az Apple-t, hogy gyorsan és nyilvánosan foglalkozzon a kérdéssel. "Az Apple válasza erre a helyzetre kulcsfontosságú" - mondta Benjamin Ismail, a Greatfire.org internetes cenzúrát figyelő csoport kampány- és érdekvédelmi igazgatója. "Vagy cáfolniuk kellene az állítást vagy meg kellene erősíteniük azt, és azonnal dolgozniuk kellene az AirDrop védelmén az ilyen sebezhetőségek ellen. Elengedhetetlen, hogy az Apple átláthatóan reagáljon ezekre a fejleményekre".

A kínai állítás riadalmat keltett vezető amerikai törvényhozókban. Marco Rubio floridai szenátor, a szenátus hírszerzési bizottságának vezető republikánusa felszólította az Apple-t a gyors cselekvésre. "Mindenkinek, aki iPhone-t használ, aggódnia kell az AirDrop funkció biztonsága miatt" - mondta Rubio. "Ez a jogsértés csak egy újabb módja annak, hogy Peking célba vegyen minden olyan Apple-felhasználót, akit ellenfélnek érez. Most van itt az ideje cselekedni, és az Apple-t felelősségre kell vonni, amiért nem védi meg felhasználóit az ilyen égbekiáltó biztonsági résekkel szemben." Az Apple szóvivője nem válaszolt a többszöri e-mailre és telefonhívásra, amelyben kommentárt kértek.

A hibát a Darmstadti Műszaki Egyetem németországi kutatócsoportja 2019-ben fedezte fel. A módszert jelentették a cégnek és megerősítést kaptak arról, hogy az Apple megkapta azt, de úgy tűnik, hogy a vállalat nem cselekedett a megállapítások alapján. Ugyanez a csoport 2021-ben közzétett egy javítási javaslatot a problémára, de az Apple akkor sem hajtotta végre azt. Az egyik kutató, Milan Stute közzétett egy e-mailt, amelyben az Apple termékbiztonsági csapatának egy képviselője 2019-ben tudomásul vette a kutatók jelentését.


A kínai hatóságok azt állítják, hogy a biztonsági rést úgy használták ki, hogy összegyűjtöttek néhány alapvető azonosító adatot, amelyeket két Apple-eszköz között kell átadni az AirDrop használatakor - olyan adatokat, mint a készülékek neve, e-mail címe és telefonszáma. Általában ezeket az információkat adatvédelmi okokból titkosítják. A Sophos brit kiberbiztonsági cég 2021-es külön elemzése szerint az Apple nem tett extra óvintézkedést, hogy hamis adatokat adjon hozzá a keverékhez, hogy véletlenszerűvé tegye az eredményeket. (Ez az eljárás "sózás" néven ismert.) Ez a nyilvánvaló mulasztás lehetővé tette egy kínai technológiai cég számára, hogy könnyebben visszafejtse az eredeti információkat a titkosított adatokból, ami "amatőr hibának" tűnik az Apple részéről - mondta Sascha Meinrath, a Penn State University távközlési tanszékének vezetője. "Ez mindenképpen magyarázatot érdemel az Apple részéről, mivel ez a technológiájuk komoly hibájára utalna".

Míg az AirDrop "eszköz-eszköz" kommunikációs csatornáját általában saját biztonsági réteg védi egy harmadik fél által végzett kikémleléstől, nem védi meg azt, akit esetleg rászedtek, hogy egy idegenhez csatlakozzon, esetleg egy megtévesztően megnevezett eszközre koppintva a névjegyzékben, vagy meggondolatlanul elfogadva egy kéretlen csatlakozási kérést. A biztonsági szakértők szerint ez a lépés szükséges a feladó azonosításához. Miután a készülék-azonosító információk kicserélésre kerülnek, az illetéktelen harmadik félnek szakértők szerint egyszerű kitalálnia a helyes kódokat, amelyekkel feloldható az adatok titkosítása.

A Wangshendongjian Technology nevű kínai technológiai cég, amely azt állította, hogy kihasználta az AirDropot, úgy tűnt, hogy ugyanazokat a technikákat használta, amelyeket a darmstadti kutatók először 2019-ben azonosítottak, mondta Alexander Heinrich, az egyik német kutató. "Tudomásunk szerint az Apple eddig nem foglalkozott a problémával" - mondta Heinrich.

A kínai állítás nyomán Ron Wyden szenátor - egy oregoni demokrata képviselő, aki a kongresszusban az adatvédelem hangos szószólója - az Apple-t ügyfelei védelmének "égbekiáltó kudarca" miatt bírálta. "Az Apple-nek négy éve volt arra, hogy kijavítsa az AirDropban lévő biztonsági rést, amely veszélyeztette a felhasználók magánéletét és biztonságát" - mondta Wyden. "Az Apple ölbe tett kézzel ült, nem tett semmit, ahelyett, hogy megvédte volna az emberi jogi aktivistákat, akik az iPhone-jukon osztanak meg olyan üzeneteket, amelyeket a kínai kormány nem akarja, hogy az emberek lássanak."

Az AirDrop exploit mögött álló technológiai cég korábban szorosan együttműködött a kínai bűnüldöző és biztonsági hatóságokkal. Az anyavállalat a cégjegyzék szerint a Qi An Xin kínai kiberbiztonsági cég. A Qi An Xin-t a Hszinhua hírügynökség szerint 2022-ben a pekingi téli olimpiai játékok kibertámadások elleni védelmével bízták meg. "A kínai kormány újra és újra a magánszektorhoz fordul, hogy bővítse technikai képességeit" - mondta Dakota Cary, a SentinelOne amerikai kiberbiztonsági cég Kínával foglalkozó tanácsadója. "Ez egy fontos emlékeztető arra, hogy a látszólag védelmi szerepet ellátó kínai kiberbiztonsági vállalatok támadó szerepet is játszhatnak".

Ritkán fordul elő azonban, hogy egy olyan kormányzati szereplő, mint Kína, nyilvánosan nyilvánosságra hozza képességeit, ami arra utal, hogy most történt bejelentés más indítékról árulkodik. "Nagyon is érdekükben áll, hogy ne árulják el a technikáikat" - mondta White. A kínai tisztviselők azért akarták, hogy a hiba ismert legyen, mert ez elriaszthatja a disszidenseket az AirDrop használatától. És most, hogy a pekingi hatóságok bejelentették, hogy kihasználták a sebezhetőséget, az Apple a kínai hatóságok megtorlásával nézhet szembe, ha a cég megpróbálja kijavítani a problémát - mondta több szakértő.

Kína az Apple termékeinek legnagyobb külföldi piaca, az ottani eladások a vállalat teljes bevételének mintegy ötödét tették ki 2022-ben. Az iPhone-ok nagy részét kínai gyárakban gyártják, és az Apple-nek válaszreakcióval kell szembenéznie Peking részéről ha lépéseket tesz a kiskapu bezárására. Ismail szerint a hackelés nyilvánosságra kerülése még nagyobb befolyást adhat Kínának arra, hogy az Apple-t együttműködésre kényszerítse az ország biztonsági vagy hírszerzési követelései iránt, mivel Kína azzal érvelhet, hogy az Apple már most is bűnrészes. "Ha az Apple kijavította volna, amikor 2019-ben jelentették, akkor ez egy kihívást jelentő technikai probléma lett volna" - mondta Matthew Green, a Johns Hopkins Egyetem kriptográfiai szakértője és professzora. "Most, hogy a kínai biztonsági ügynökségek kihasználják ezt a sebezhetőséget, ez egy kemény politikai probléma az Apple számára."