留学苹果id国内改国外
今天,就一起来看看这个离线无网时仍然能上传数据,来自柏林的研究团队Positive Security开发的应用,Send My。
首先,当苹果设备用户通过Find My app将自己的苹果设备与其他外设连接时,会协商出一对密钥对。
这时的外设相当于一个BLE beacon(蓝牙低能耗广播),会不断广播一个由公钥衍生而来的变化密钥。
最终,再由最开始的苹果设备从服务器下载这一信息包,并通过保存在己设备app上的密钥解密,得到具体位置数据。
设定公钥中的任意位(bit),并进行不断的循环播报,直到发送一条完整信息。当发送端和接收端都承认同一个编码方案时,就可以成功传输数据。
在启动时会广播一个硬件编码的默认信息,然后在串行接口上监听并进行循环广播,直到收到一个新信息。
Send My的应用程序基于OpenHaystack,由达姆施塔特工业大学的研究人员开发,是一个有些黑客化的逆向工程。
OpenHaystack在今年3月份开源,当时苹果还尚未向第三方配件制造商开放Find My应用程序。
对此,他们决定在广播一个有效载荷(payloads)之前,先检查它所代表的的EC点对其所使用的曲线(curve)是否真的有效。
因为Find My系统根本无法读取未加密的位置信息,也不知道公钥所属,更不知道位置信息与公钥之间的联系。
如果要禁止这种基于OpenHaystack的黑客化应用的滥用留学苹果id国内改国外,那么或许应该重新考虑Find My的安全性。
Positive Security是一家来自德国柏林的IT安全咨询和研究公司,主要提供网络安全支持服务。
创始人有两位。其中fabian毕业于德国波茨坦大学,lukas毕业于卡尔斯鲁厄理工学院,两人都曾效力与德国安全研究室SRLabs。