根据一名安全研究员Bräunlein的发现,一个漏洞允许在苹果的Find My网络中发送消息和额外的数据。安全研究员Fabian Bräunlein发现了一种利用苹果的Find My网络作为通用数据传输机制的方法,这会允许非互联网连接的设备通过使用附近的苹果设备为其上传数据来上传任意数据。 Find My网络使用所有活跃的iOS设备作为节点来传输位置数据,这样黑客便有可能模仿AirTag连接到Find My网络并广播其位置的方式,通过加密的广播发送它的位置,而当这个数据被替换成消息时,它可以被加密广播信息所掩盖了。 Bräunlein的实际演示显示了如何从运行定制固件的微控制器通过Find My网络发送短串文本,该文本通过一个定制的Mac应用程序接收,以解码和显示上传的数据。 目前还不清楚这个Find My网络的漏洞是否可以被恶意使用,或者它可能有什么有用的用途。由于该系统注重隐私和端到端加密的性质,苹果似乎很难防止这种意外的使用。 欲了解更多信息,请参阅Bräunlein的完整博文,其中详细解释了通过Find My网络传递任意数据背后的整个技术过程: https://positive.security/blog/send-my
