Onderzoekers van George Mason University hebben recentelijk een methode ontdekt waarmee hackers vrijwel elk apparaat met een internetverbinding kunnen volgen. De aanval, genaamd ‘nRootTag’, maakt gebruik van het Bluetooth-adres van een apparaat in combinatie met Apple’s Find My-netwerk om het onbewust om te zetten in een volgbaken.
“Het is alsof je een laptop, telefoon of zelfs een gameconsole verandert in een Apple AirTag, zonder dat de eigenaar het merkt”, aldus Junming Chen, de hoofdauteur van de studie. “En een hacker kan dit op afstand doen, zelfs van duizenden kilometers ver, met slechts een paar dollar aan apparatuur.”
Volgsysteem
Het onderzoeksteam, bestaande uit de professoren Qiang Zeng en Lannan Luo, en promovendi Chen en Xiaoyue Ma, ontdekte dat de aanval werkt door Apple’s Find My-netwerk te misleiden. Dit netwerk is ontworpen om verloren AirTags te lokaliseren door Bluetooth-signalen naar nabijgelegen Apple-apparaten te sturen. Deze apparaten sturen de locatie van het ‘verloren’ object vervolgens anoniem naar Apple Cloud, zodat de eigenaar het kan terugvinden. De onderzoekers konden een willekeurig apparaat laten fungeren als een AirTag, waardoor het netwerk begon met het volgen ervan zonder toestemming van Apple.
Tijdens experimenten met het volgsysteem konden de onderzoekers de locatie van een stilstaande computer tot op drie meter nauwkeurig bepalen, de route van een bewegende e-bike traceren en zelfs de exacte vlucht en het vluchtnummer van een gameconsole aan boord van een vliegtuig reconstrueren. Zeng benadrukt: “Het is beangstigend als je slimme slot wordt gehackt, maar nog veel angstaanjagender als een aanvaller ook weet waar het zich bevindt.”
Succesratio van 90 procent
Wat deze techniek bijzonder zorgwekkend maakt, is de efficiëntie: met een succesratio van 90 procent en binnen enkele minuten operationeel, is de aanval eenvoudig uit te voeren. Apple’s AirTags veranderen normaal gesproken regelmatig van Bluetooth-adres, maar hackers kunnen deze beperking omzeilen door een sleutel te vinden die compatibel is met het bestaande adres.
Het risico op misbruik is groot, variërend van stalking en bedrijfsspionage tot nationale veiligheidsdreigingen. De onderzoekers hebben Apple in juli 2024 op de hoogte gebracht van het probleem, waarna het bedrijf erkende aan een oplossing te werken. Een definitieve fix kan echter jaren duren om volledig door te voeren, aangezien veel gebruikers software-updates uitstellen of weigeren.
Betere bescherming
De bevindingen zullen in augustus worden gepresenteerd op het USENIX Security Symposium in Seattle. Tot die tijd adviseren de onderzoekers om Bluetooth-permissies kritisch te beoordelen, software up-to-date te houden en privacygerichte besturingssystemen te overwegen voor betere bescherming.