martes, mayo 12, 2020

AirPodSpy: Cómo te pueden vigilar por tus Apple AirPods

El otro día, en la segunda parte del artículo que estoy escribiendo sobre AirPods Pro: Safety & Security os hablé de un descubrimiento que había hecho sobre el funcionamiento de Find My iPhone para los AirPods de Apple que me aterraba. Se trata de la posibilidad de parear los Apple AirPods a dos cuentas de Apple ID, lo que permite que una persona sepa en todo momento donde está la otra persona.

Figura 1: AirPodSpy: Cómo te pueden vigilar por tus Apple AirPods

Hoy os hemos hecho un vídeo haciendo una demostración explicando este riesgo de privacidad y seguridad, al que hemos llamado AirPodSpy, donde se puede ver que en cuestión de apenas tres segundos una persona puede parearse tus AirPods y a partir  de ese momento puede vigilar tu posición - o mejor dicho, la de tus AirPods de Apple usando el servicio de Find My iPhone, eso sí, dentro del rango de localización de los AirPods. Eso significa que si llegas, te vas o estás cerca, puede vigilarte en todo momento, pero además, si pierdes los AirPods y otro los usa, no puedes localizarlos.


Figura 2: Explicación y demo de AirPodSpy

Ten mucho cuidado con esto, ya que si alguien tiene acceso a tus Apple AirPods en el trabajo, en tu casa o en un espacio público, podrá saber si llegas, si te vas o si estás cerca. Y lo peor, es que puede pasar por un simple "descuido" o error, pero puede afectar a tu vida personal.

Figura 3: Libro de MacOS Hacking


Como sabéis, durante años hemos investigado las opciones de las tecnologías Apple, y tienes en 0xWord un libro sobre MacOS Hacking, y otro, llamado Hacking iOS: iPhone & iPad (2ª Edición) donde participé y hablamos de todo el modelo de seguridad de iOS, para entender mejor su funcionamiento y cómo puede ser atacado.

Figura 4: Libro de Hacking iOS: iPhone & iPad (2ª Edición)


En este caso concreto, Apple debería añadir en los AirPods un número que indicara cuántas cuentas están trackeando la posición de los AirPods y que se pudiera eliminar el seguimiento de esa cuenta. O que para que el servicio de Find My iPhone en AirPods funcione deban ser registrados manualmente la primera vez en la cuenta de Apple ID y no se active el seguimiento de GPS en otra cuenta. Además, si alguien utiliza tus AirPods, Apple debería dar al dueño la posibilidad de saber dónde están, pero no lo hace aunque sepa su posición.


Figura 5: Haría falta un aviso del número de usuarios que
vigilan la posición de este dispositivo.

Ahora mismo solo se puede eliminar el tracking de unos AirPods  si la cuenta elimina ese dispositivo de los dispositivos BlueTooth, así que si conectas tus AirPods a cualquier iPhone, no te olvides de eliminarlo de la lista de dispositivos BlueTooth pareados.

Figura 6: Solo si se elimina de la lista de BlueTooth desaparece de Find my iPhone

En este blog, ya sabes que tienes técnicas sencillas como el truco para robar cuentas de Gmail o Hotmail usando Siri en iPhone, o el famoso DirtyTooth que obligó a Apple a modificar el pareado de dispositivos BlueTooth por el riesgo que suponía para la seguridad de tu cuenta, ya que te podían robar toda tu agenda.


Figura 7: DirityTooth en RootedCON por Chema Alonso

Os dejo la conferencia de DirtiyTooth para iPhone que di en la RootedCON y donde se puede ver cómo toda la agenda de contactos de un iPhone es robada con una altavoz de música. It´s Only Rock'n Roll, but I  like it.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


8 comentarios:

Barraguesh dijo...

Chema, me parece un poco vergonzoso que un comentario de Reddit de hace 2 años expusiese este problema y recibiese una solución y no lo hayas incluido en tu investigación, porque elimina toda tu conjetura de un plumazo. https://www.reddit.com/r/apple/comments/7j9e6p/removing_airpods_from_other_peoples_find_my_iphone/ pero no lo hayas incluido en el artículo.

La solución ya está hecha por Apple desde el día 1. Los AirPods actualizan la localización cuando están en rango con el móvil, es decir, si tu te vas a dar un paseo y dejas el móvil espía en tu casa, el móvil espía no recibirá la localización en tiempo real, porque no tiene en rango a los AirPods. En tu ejemplo te aparece actualizado porque ambos móviles están junto a los AirPods, así que solo puedes espiar si estás siguiendo a alguien, es decir, no necesitas los AirPods y no es un problema de privacidad de los AirPods.

Chema Alonso dijo...

@Barraguesh, he publicado tu comentario, aunque me parece que el tono no es el adecuado. No obstante, si los AirPods se separan de cualquier dispositivo pareado no envían localización y se guarda el Lost Location. Según la web de Apple "Si los AirPods están fuera del alcance de todos tus dispositivos, no están cargados o se encuentran dentro de su estuche, Buscar puede mostrarte la hora y la ubicación de su última conexión. Las pruebas que he hecho yo han sido a distancia de BT, pero te doy el beneificio de la duda que puede que la distancia GPS no fuera relevante. Y lo voy a volver a probar exactamente. Pero tal y como dice la descripciíon del servicio, en el momento en que se conectan los AirPods a un dispostivo, se envía el Last Location. Es decir, si los AirPods están pareados contigo están enviado el Last Location a Find My iPhone, y se supone que yo - que lo tengo en Find My iPhone lo veré actualizado. Según tu comentario es que voy a ver dos ubicaciones distintas desde las dos cuentas? Lo voy a probar y te confirmo. Gracias!

https://support.apple.com/es-es/HT207581

Barraguesh dijo...

Hola Chema. Tal como se comenta en otro comentario más del mismo post de Reddit, existe la posibilidad de apretar el botoncito del estuche y se resetean los AirPods, los vuelves a emparejar y no tendría que aparecer actualizado en ningún otro iPhone incluso cercano porque se han reseteado.

Yo lo voy a probar con mi pareja porque usó los míos unas cuantas veces. Estoy esperando a que esté en linea para confirmarlo. Ahí entraría en juego (dependiendo del resultado) la distancia y que haya reseteado los AirPods con el botoncito.

Respecto al tono del comentario si, he utilizado vergonzoso cuando era más adecuado un "creo te has dejado esto", el resto del comentario se puede malinterpretar por el comienzo.

Un saludo.

Chema Alonso dijo...

@Brranguesh, haz la prueba y nos cuentas los resultados.

Opción 1: Apple sabría quién y donde están tus AirPods Robados y no te lo dice.
Opción 2: Apple sabe donde está el que lleva tus AirPods y te lo dice.

En cualquiera de los dos casos, el servicio no está bien diseñado, ya que en la Opción 1 debería dejar a su legítimo dueño poder recuperarlos diciéndole donde están. En la Opción 2, tenemos un problema de privacidad grabe.

Y en definitiva, si es la Opción 1, está mal explicado para el usuario y hace crear al usuario que realmente es un Find My iPhone, cuando sería otro servicio distinto.

Gracias!

Barraguesh dijo...

Hola de nuevo Chema!

No muestra la localización de mis AirPods a mi pareja, pero a mi si, te adjunto unos pantallazos para que veas. https://imgur.com/a/o8okKqv

Mis conclusiones frente al artículo de Apple support y tras comprobar el estado actual de mis AirPods es que si tengo iPhone X e Y emparejados con los mismos AirPods, mientras estén en rango Bluetooth del iPhone X, se actualizarán en el Find my iPhone de la cuenta X, lo mismo para el Y, pero, si no vuelven a estar en contacto con el Y, pero si con el X, el Y acaba mostrando que no hay localización y el X tiene la localización actualizada porque están en constante uso. Es decir, si no se conectan a ningún dispositivo de la cuenta del iPhone Y durante un rato, no va a tener la localización de esos AirPods.

En caso de que sea un producto robado y tengas el número de serie, puede que Apple si que te ayude a localizarlos si están conectados a otra ID de Apple, pero supongo (y espero) que sea tras varias verificaciones y comprobaciones de su compra.

Un saludo

Chema Alonso dijo...

@Barraguesh, pues muchas gracias por el aporte y las pruebas. Yo voy a volver a hacer un par más pero entonces.

1.- No sirve como un Find My iPhone porque aunque sepan donde estás no puedes localizarlos: Creo que la opción correcta debería ser que el dueño pudiera registrar los AirPods en su cuenta una única vez y el resto no pudiera acceder a su localización pero sí a enviar la localización a su dueño.

2.-Debería avisar qué o cuántas personas (en el rango de conexión BT) están accediendo a su localización. Aunque la distancia sea menor sigue generando problemas de privacidad para las personas, y se me ocurren escenarios de casos que he vivido judicialmente en puestos de trabajo y vecinos que pueden monitorizar a una persona en su casa.

3.- El mensaje debe ser más claro en la web de Apple. Personalmente, creo que no deja claro ese funcionamiento de múltiple pareado.

4.- Si me he comprado los AirPods espero que el mecanismo para detectar la ubicación en robo sea ágil y no imposible, porque si no, el sistema no es útil, y un dispositivo como AirPods Pro que cuesta más de 250 € sin ningún control de seguridad disuasorio para los ladrones puede atraer muchos robos con violencia, por desgracia.

Por último, no sé si existe un límite de pareados, porque pueden aparecer escenarios muy trikis. Gracias por las pruebas. Voy a volver a actualizar las pruebas yo y haré una actualización del texto en la última parte para matizar estos comportamientos que, bajo mi parecer, Apple debe mejorar aún.

Barraguesh dijo...

1.- Me parece hasta raro ahora que Apple no hubiese pensado en ese "lock" de iCloud para los AirPods, que solo envíen localización a la primera cuenta a la que se añaden. Tiene más sentido aún cuando los iPhones tienen ya tienen un sistema parecido.

2.- Es cierto pero el vector de ataque es muy pequeño, aunque posible. Tendrías que dejar un dispositivo con bluetooth activado por la zona, y todo contando que estén siendo usados, si la caja está cerrada no se encienden.

3.- Totalmente de acuerdo, más aún siendo Apple "privacy by design".

4.- Quiero imaginar que si existe un tema legal como una denuncia si que te podrán aclarar quién los está usando, porque al FBI si que le dan los datos de iCloud no encriptados de punto a punto cuando hay temas legales de por medio.

Un placer. Yo creo que la prueba estrella es parear dos iPhones, dejar uno en casa, irte a dar un paseo a las 20h, y comprobar que tu iPhone tiene la ubicación actual y el que se ha quedado en casa no tiene localización o pone la de tu casa como la última conocida.

Un saludo!

ivan ospina dijo...

Saludos desde Cali Colombia Chema;oye creo que deberías explicarle bien al amigo Youtuber de Marciano Techo como cómo es que es asunto este del gallo de Apple con los AirPods; creo que no entendio muy claro de que se trata.

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares