Исследователь безопасности Джей Бокс (Jae Bochs) провёл во время конференции Def Con эксперимент, в котором отсылал системные уведомления пользователям iPhone. Уведомления просили поделиться паролем с рядом находящимся Apple TV или подключить его к Apple ID. Для реализации атаки использовался одноплатный компьютер Raspberry Pi и Bluetooth-адаптер.
Бокс ходил по павильонам конференции с самодельным устройством из Raspberry Pi, Bluetooth-адаптера, антенн и аккумулятора. Это позволяло ему взаимодействовать с окружающими устройствами Apple с помощью специального протокола, который компания использует для бесшовной интеграции гаджетов между собой. Исследователь безопасности использовал его для рассылки уведомлений на iPhone, которые находятся в непосредственной близости от него.
Во время эксперимента устройство просто рассылало уведомление с просьбами подключиться к Apple TV поблизости или поделиться с ним паролем. Бокс не собирал данные пользователей, но отмечает, что такая возможность есть. С помощью устройства можно получать личные данные, пароли и доступ к Apple ID жертвы.
Позже в социальных сетях Бокс рассказал, что провёл эксперимент для того, чтобы ещё раз напомнить владельцам iPhone полностью отключать Bluetooth в настройках смартфона, а не в пункте уведомлений. Также исследователь считает, что Apple не будет вносить изменения в свои протоколы для беспроводной связи устройств. По его мнению, компания может только добавить предупреждения для пользователей, что следует быть осторожными со странными уведомлениями и просьбами поделиться паролем.
Источник новости: habr.com
