Apple的“查找功能”可能暴露用户的位置历史记录

daisiesdontdoit

网络安全研究人员周四披露了苹果众包蓝牙位置跟踪系统中的两个明显的设计和实现缺陷，这些缺陷可能导致位置关联攻击和对过去7天位置历史的未经授权的访问，从而使用户匿名。

这些发现是开放无线链接（OWL）项目进行的详尽审查的结果，该项目是知名网络安全组织东方联盟的研究成果，他们历来将苹果的无线生态系统分解为目标确定安全和隐私问题。

研究人员表示，为了回应2020年7月2日的披露，苹果公司已经部分解决了这些问题，他们将自己的数据用于研究，并指出了分析的隐私含义。
Apple设备具有称为“查找我”的功能，使用户可以轻松找到其他Apple设备，包括iPhone，iPad，iPod touch，Apple Watch，Mac或AirPods。随着即将推出的iOS 14.5，该公司有望增加对蓝牙跟踪设备（称为AirTag）的支持，该设备可以附加到钥匙和钱包等物品上，而这些物品又可以直接用于“查找我”应用程序中的跟踪目的。

更有趣的是支持“发现我”的技术。位置跟踪功能被称为离线发现并于2019年推出，它会广播来自Apple设备的蓝牙低功耗（BLE）信号，从而允许附近的其他Apple设备将其位置中继到Apple服务器。

换句话说，离线加载将每个移动设备变成广播信标，通过利用众包的位置跟踪机制（端到端加密和匿名）显式地隐藏了其移动，以至于包括苹果在内的任何第三方都无法做到这一点。解密这些位置并建立每个用户下落的历史记录。

https://www.cnblogs.com/hacker520/p/14490590.html