Apple fikste bug waarmee ieder bluetoothapparaat via Find My kon worden gevolgd

Hackers hebben een exploit gevonden in Apples Find My-netwerk waarmee het mogelijk was ieder apparaat met bluetooth te volgen via dat netwerk. Die exploit, nRootTag, maakte het mogelijk ieder apparaat als een AirTag aan te merken zonder dat daar roottoegang voor nodig was.

De beveiligingsonderzoekers van de George Mason University noemen hun exploit nRootTag. Voor de aanval hebben hackers geen roottoegang nodig tot bluetoothapparaten of tot iOS-apparaten. Bovendien kan de aanval goedkoop worden uitgevoerd met negentig procent succes, zeggen de onderzoekers. De aanval kan zowel Windows- als Android-apparaten aan het AirTag-netwerk koppelen, maar ook apparaten op Linux − wat in de praktijk ieder apparaat met bluetooth betekent.

Om de aanval uit te voeren moeten hackers wel een apparaat weten te infecteren. Het apparaat moet verbinding leggen met een server in het beheer van de hackers zelf. Om de trojan succesvol te installeren en in te zetten in een aanval, is het echter niet nodig om roottoegang te hebben tot het getrackte apparaat. Dat is anders dan bij eerdere, soortgelijke aanvallen, waaronder OpenHayStack.

De kwetsbaarheid zit in de manier waarop Apple-apparaten public keys uitwisselen met AirTags. Bij het koppelen van apparaten deelt een AirTag een public-private key. Als het apparaat buiten bereik is van het gekoppelde apparaat, zendt de AirTag die public key uit via Bluetooth Low Energy. Apparaten in de buurt sturen dan een versleutelde locatie door in combinatie met een hash van de public key van de AirTag. "De Apple Cloud maakt het mogelijk voor iedereen om met een gehashte public key de locatie van een apparaat op te halen", zeggen de onderzoekers.

Normaal gesproken kan die data alleen ontsleuteld worden met behulp van de private key, maar de onderzoekers zeggen een manier te hebben gevonden om dat zelf te doen. Dat kan op basis van twee aanvalstechnieken. Voor Linux-apparaten merkten de makers op dat het publieke adres van een BLE-chip meerdere bits bevat die openbaar beschikbaar zijn in een IEEE-database. Met die informatie kunnen de makers een rainbow table maken, een vooraf opgestelde table met gecalculeerde wachtwoorden of hashes waarmee het cracken sneller kan. Voor Windows- en Android-apparaten geldt een andere aanvalsmethode. Die is uitgebreider; daarvoor moeten aanvallers bijvoorbeeld de uitwisseling van keys tussen meerdere apparaten eerst onderscheppen en die met weer een rainbow table kraken.

De onderzoekers hebben de problemen aangedragen bij Apple. Het bedrijf heeft in oktober al een reparatie doorgevoerd in iOS 18.2, visionOS 2.2, iPadOS 17.7.3, 18.2, watchOS 11.2, tvOS 18.2, macOS Ventura 13.7.2, Sonoma 14.7.2 en Sequoia 15.2. De onderzoekers hebben hun bevindingen nu publiek gemaakt.

Update, 3 maart 09.38 - In het artikel stond aanvankelijk dat 'data alleen ontsleuteld kan worden met behulp van de public key', maar dat moet de private key zijn.

Reacties (31)

nzall

28 februari 2025 13:51

Het kan zijn dat ik me vergis, maar iOS 18.2, is dat niet een versie van een paar maanden terug? Is dit dan gewoon een public disclosure van een bug die al lang is opgelost?

ccnl @nzall • 28 februari 2025 14:18

Hoe komt tweakers.net erop dat de Bug gefixt is in iOS 18.2? Daar is alleen gedankt voor het informeren over de bug, maar geen details over het fixen.
https://support.apple.com/en-us/121837

Proximity
We would like to acknowledge Junming C. (@Chapoly1305) and Prof. Qiang Zeng of George Mason University for their assistance.

MrV @ccnl • 28 februari 2025 14:21

In addition, we appreciate the help from the Apple Security Team for their prompt responses and acknowledgement. Apple recently released patches in iOS 18.2, visionOS 2.2, iPadOS 17.7.3, 18.2, watchOS 11.2, tvOS 18.2, macOS Ventura 13.7.2, Sonoma 14.7.2, Sequoia 15.2 to fix the vulnerability.

https://nroottag.github.io/

DevWouter @nzall • 28 februari 2025 13:54

Inderdaad. iOS 18.2 was gereleased in oktober 2024

svenk91 @nzall • 28 februari 2025 15:25

Ja, lijkt het wel op. Het is logisch dat je even wacht tot veel mensen de kans hebben gehad te updaten.

robbinkg @nzall • 28 februari 2025 13:59

Correct

PaulHelper @nzall • 28 februari 2025 22:18

Zelfs al is het in de laatste update opgelost kan het nog steeds problemen veroorzaken.
20+ procent heeft nog niet eens ios 18. Laat staan iOS 18.2+. Dus potentie voor misbruik blijft bestaan

Aaargh! 28 februari 2025 14:50

De titel doet vermoeden dat je hiermee zomaar elk device kan volgen, wel een goede clickbait titel natuurlijk, maar de werkelijkheid is iets genuanceerder.

Om iemand te volgen moet je wel code kunnen uitvoeren op het apparaat van degene die je wilt volgen. Ook moet een key gebrute-forced worden (alhoewel je hier een rainbow table voor kan maken). Vervolgens moet de trojan die je op dat apparaat draait BLE advertisements uitsturen.

Als een onvertrouwde 3e partij code op jouw apparaat kan uitvoeren is het toch al verloren. Wat er nieuw is aan deze exploit is dat dit kan doen met een user-mode applicatie, dus dat maakt je exploit een stukje makkelijker uit te voeren.

Mushroomician @Aaargh! • 28 februari 2025 15:32

Je hebt gelijk, maar het schijnt ook licht op (theoretische) gevaren van dit netwerk.

Deze exploit stelt een user in staat om een doelwit te volgen zoals is beschreven door code uit te voeren op dat doelwit.

Maar, wat weerhoudt Apple zelf hiervan om de locatie van elk ieder niet-iOS device te volgen?

Dat er dan om een interval vanaf elk iOS device in Nederland een lijstje wordt ge-exporteert naar de VS, is gewoon klassieke spionage maar dan verelektrificeert. En ze vermommen het als "service" zoals in de algemene voorwaarden.
Het ergste is: Ook mensen die geen iOS device hebben worden daarmee gevolgd.

[Reactie gewijzigd door Mushroomician op 28 februari 2025 15:35]

Aaargh! @Mushroomician • 28 februari 2025 20:59

Maar, wat weerhoudt Apple zelf hiervan om de locatie van elk ieder niet-iOS device te volgen?

Hoe gaat Apple al die devices zo ver krijgen dat ze BLE advertisements gaan uitsturen?

Mushroomician @Aaargh! • 1 maart 2025 08:01

Zit dat bij BT dan niet gewoon in de link-layer? Net als met WiFi waar de ether vol mee zit.

Aaargh! @Mushroomician • 1 maart 2025 14:19

Bij BLE moet je actief advertisements gaan sturen, dat gebeurt niet standaard. Er moet dus een applicatie zijn die iets advertised.

laptopleon @Mushroomician • 1 maart 2025 00:36

Wat gaat welke fabrikant dan ook ervan weerhouden data te verzenden via elk bekend protocol van welk apparaat dan ook, is dan nog eerder de vraag. Apple heeft nog een bepaalde reputatie, veel hardware is niet van een bekend merk en heeft wat dat betreft niets te verliezen.

LOTG @Aaargh! • 28 februari 2025 14:58

Ja de titel (en de pagina van nRootTag zelf) zijn wel erg de indruk aan het wekken dat dit werkt voor elk bluetooth apparaat zonder enige tussen komst.

Duurde bij mij ook even voor ik door had hoe ze dan een bluetooth apparaat zich lieten voordoen als een AirTag (wat toch wel een van de kritische acties in het proces is), maar dat is dus niet zonder toegang tot het apparaat te bewerkstelligen.

Je hebt dan wel geen root nodig maar nog steeds toegang.

TheMak @Aaargh! • 1 maart 2025 16:23

Ja, volgens mij kan ik dit verhaal ook lezen dat iedereen zijn eigen airtag kan bouwen

Yzord 28 februari 2025 14:03

Normaal gesproken kan die data alleen ontsleuteld worden met behulp van de public key, maar de onderzoekers zeggen een manier te hebben gevonden om dat zelf te doen.

Ontsleutelt? Met een public key?

laurxp @Yzord • 28 februari 2025 14:25

In dit geval een misquote, maar dat kán wel, ja!

Om een voorbeeld te geven, in RSA zijn de rol van public en private key uit te wisselen. Hierdoor kan je hetzelfde sleutelpaar gebruiken om berichten te versleutelen met de public key die alleen te ontsleutelen zijn met de private key, én berichten te versleutelen met de private key die alleen te ontsleutelen zijn met de public key.

Je kan dit bijvoorbeeld zien in PGP. Als A een email stuurt naar B, dan encrypt A het bericht met B's public key (die iedereen weet) om te voorkomen dat derden het kunnen lezen. B is de enige met de private key, en is dus de enige die het kan decrypten. Hier bovenop ondertekent A het bericht met A's private key. A is de enige partij met die key, en is dus de enige die het kan ondertekenen. Iedereen heeft A's public key, dus iedereen (en dus ook B ) kan verifiëren dat het bericht van A kwam.

[Reactie gewijzigd door laurxp op 28 februari 2025 14:25]

stfn345 @laurxp • 28 februari 2025 15:40

Maar dan ben je toch nog steeds aan het ontsleutelen met de private key..?

Voutloos @stfn345 • 28 februari 2025 16:41

Korter:
Met public encrypten, met private decrypten = De wereld kan een bericht maken dat enkel de bedoelde partij kan ontcijferen.
Met private key encrypten, met public key decrypten = De wereld kan inzien wat maar 1 partij maar kan maken. Bijv een onderteken of afzendbewijs (edit: signeren dus).

In het PGP voorbeeld hierboven worden de operaties gestapeld (met verschillende key pairs, anders hebben A en B dezelfde private!), zodat je zowel afzender als geadresseerde bewijst.

Edit: Alex3, deze thread gaat over het pgp voorbeeld van laurxp.

[Reactie gewijzigd door Voutloos op 1 maart 2025 10:12]

Alex3 @Voutloos • 1 maart 2025 09:34

Dat is geen encrypten maar signeren. Dat gaat met de sleutels van de afzender i.t t. encrypten, dat met de sleutels van de ontvanger gebeurt.

PhilipsFan 28 februari 2025 14:46

Wat jammer dat deze 'bug' is opgelost. Ik zou het verrekte handig vinden als ik mijn Windows laptop zou kunnen tracken via FindMy! Ik ben al een tijdje aan het kijken of ik er een Airtag kan inbouwen, maar dat valt tegen, de ruimte is zeer beperkt. Wat zou het handig zijn om dit te kunnen doen met de reeds aanwezige Bluetooth hardware...

killercow @PhilipsFan • 28 februari 2025 14:50

omdat dit soort massa-surveilance niet publiek beschikbaar hoort te zijn. You bet your ass dat er wel degelijk partijen zijn die mobiele netwerken (of netwerken van mobiele devices) alsnog op deze manier kunnen inzetten om apparaten te volgen aan de hand van mac adressen van verschillende radio's.

Darkjacky @PhilipsFan • 28 februari 2025 15:08

Je kan gewoon zo’n chinees goedkope airtag uit elkaar slopen zonder iets te slopen en met wat draden hem bijvoorbeeld aan de bios batterij zetten.

xxs @Darkjacky • 1 maart 2025 11:05

Hoeft niet eens Chinees te zijn, onze eigen Rotterdamse Fresh ‘n Rebel verkoopt via Action prima Smartfinders voor het bescheiden bedrag van 5 euro (bij 3 pack).

Lekker plat printplaatje als je de behuizing weglaat.

Ook laten ze, als je Apple’s 'Find My’ gebruikt, de batterij status zien dit i.t.t. Apples Aitag waar ze dat weer bewust uitgehaald hebben. Wel is het batterij verbruik hoger van een Smartfinder dan van een Airtag. Mijn Airtags doen allemaal nagenoeg 2 jaar op een Duracel 2032 terwijl de Smartfinder het 1 jaar deed (op eigen type batterij). Er is echter ook een oplaadbare Smartfinder Card (in de vorm van een Creditcard) voor 10 euro maar die heb ik nog niet open gemaakt.

[Reactie gewijzigd door xxs op 1 maart 2025 11:07]

laptopleon @PhilipsFan • 1 maart 2025 00:31

Je wil dat idealiter niet met de ingebouwde hardware doen, want dan werkt het waarschijnlijk niet meer zodra een dief de laptop opnieuw installeert of zelfs maar de accu er uit haalt. Lijkt me overigens dat je met een beetje creativiteit het 'moederboordje' toch uit een AirTag moet kunnen slopen (met een kloon is het helemaal simpel, zit er vaak gewoon ingeklemd) en in je laptop kwijt moet kunnen, desnoods een ander model knoopcel. Daarvan zijn ook plattere en juist 'vierkantere' versies. Allicht past een van die versies beter? En als je er meerdere parallel schakelt, hoef je niet in te boeten aan batterij-capaciteit. Als je genoeg batterijen kwijt kunt, zou je zelfs een tracker kunnen maken die extra lang meegaat 🕵🏼‍♀️

Z80 28 februari 2025 15:03

De tekst is nog al krom geschreven. En is niet duidelijk wat exact het probleem was.
De bug maakte het mogelijk om van elk BL device een tracker te maken. En deze vervolgens ook daadwerkelijk te volgen.
Quote<
As explained by the researchers in a blog post, they have essentially found a way to turn any device such as a phone or laptop into an AirTag “without the owner ever realizing it.” After that, hackers could remotely track the location of that device.
>Quote

svane 28 februari 2025 15:57

Ik ben benieuwd of dit invloed heeft op projecten als https://github.com/seemoo-lab/openhaystack

Het leek mij wel leuk om zelf een 'open source Airtag' te maken, maar met een beetje pech kan dat niet meer