Recentemente, la rete Find My di Apple, che permette agli utenti di localizzare agevolmente dispositivi e accessori come gli AirTag, è finita sotto i riflettori per motivi tutt’altro che rassicuranti. Ricercatori della George Mason University hanno infatti scoperto una vulnerabilità che consente ai malintenzionati di monitorare silenziosamente qualsiasi dispositivo Bluetooth mediante la rete di Apple. Questa situazione solleva interrogativi sulla sicurezza dei nostri dispositivi e sulle misure che l’azienda sta prendendo per proteggere i propri utenti.
Indice dei contenuti
Come funziona il sistema di tracciamento di Apple
Per comprendere la gravità della scoperta, è fondamentale capire come operano la rete Find My e i dispositivi collegati. Il sistema funziona tramite l’invio di messaggi Bluetooth dagli AirTag e altri tracker compatibili verso dispositivi Apple nei paraggi. Successivamente, questi dispositivi condividono in forma anonima la posizione dell’AirTag direttamente con il proprietario, utilizzando i server di Apple. Tuttavia, i ricercatori sono riusciti a sviluppare un metodo che permette di usare la rete Find My per seguire anche i dispositivi Bluetooth non autorizzati, semplicemente utilizzando la chiave giusta.
L’exploit “nRootTag”
Tra le scoperte più inquietanti c’è l’exploit denominato “nRootTag”, che consente ai pirati informatici di trasformare qualunque dispositivo, come uno smartphone o un laptop, in un AirTag senza che il legittimo proprietario ne sia consapevole. Attraverso un sistema capace di individuare rapidamente le chiavi per gli indirizzi Bluetooth, i malintenzionati possono monitorare la posizione dei dispositivi. Utilizzando “centinaia” di unità di elaborazione grafica , gli hacker sono stati in grado di ottenere un tasso di successo del 90%, senza necessità di elevate competenze tecniche.
Un esperimento condotto dai ricercatori ha permesso di rintracciare un computer con una precisione di 3 metri, rivelando perfino i percorsi di una bicicletta in movimento attraverso la città. In un altro test, i ricercatori hanno ricostruito il percorso di un individuo tracciando la sua console di gioco. Tali risultati evidenziano la potenza dell’exploit e la facilità con cui può essere sfruttato da chi ha cattive intenzioni.
Comunicato e risposte da Apple
La segnalazione dell’exploit a Apple risale a luglio 2024, momento in cui i ricercatori hanno consigliato all’azienda di aggiornare la rete Find My per garantire una verifica più robusta dei dispositivi Bluetooth. Sebbene Apple abbia riconosciuto pubblicamente il contributo della George Mason University nella scoperta della vulnerabilità, non ha ancora implementato una soluzione concreta. Non sono fornite informazioni dettagliate su come intende affrontare il problema.
Raccomandazioni per gli utenti
I ricercatori avvertono, inoltre, che una reale soluzione potrebbe richiedere anni prima di essere effettivamente disponibile, poiché non tutti gli utenti aggiornano i propri dispositivi Apple immediatamente dopo il rilascio di una nuova versione di iOS. Nel frattempo, gli esperti suggeriscono di prestare particolare attenzione alle richieste di accesso al Bluetooth da parte di app non necessarie, e di mantenere sempre aggiornato il software dei propri dispositivi. La consapevolezza e la cautela rimangono elementi chiave nella lotta contro queste vulnerabilità.