Resumo
- Uma falha no recurso “Buscar” da Apple permite conectar dispositivos Android e outros aparelhos Bluetooth fora do ecossistema da empresa.
- A exploração da falha exige centenas de GPUs para encontrar uma chave compatível com a AirTag, mas serviços de processamento em nuvem facilitaram essa tarefa para hackers.
- Pesquisadores alertaram a Apple sobre o problema em julho de 2024, mas a correção ainda não foi implementada.
Uma falha no recurso Buscar da Apple, que permite encontrar dispositivos da empresa, pode ser usada para conectar dispositivos Android e outros aparelhos fora do ecossistema da big tech.
A descoberta foi feita por pesquisadores da Universidade de George Mason, nos Estados Unidos. Segundo um dos pesquisadores, a falha basicamente transforma o dispositivo em um AirTag — pelo menos aos olhos do Buscar.
Como funciona a falha descoberta no Buscar?
A falha permite que usuários mal-intencionados descubram uma chave do AirTag que seja compatível com o endereço Bluetooth do rastreador da Apple. Essa chave então é usada em outro dispositivo, como um celular Android ou outro produto com Bluetooth. O alvo pode ter seu dispositivo invadido ou aceitar a conexão sem conhecer o dispositivo — dica de segurança: nunca conecte seus eletrônicos com Bluetooths que você não sabe a origem.
O sistema do Buscar (também conhecido pelo seu nome em inglês, “Find My”) identifica o dispositivo como uma AirTag. Em testes, os pesquisadores conseguiram usar a falha em um desktop, uma e-bike e até um PC de mão (handheld PC). Nesse caso, foi possível até reconstruir a rota do avião no qual o PC de mão estava.
Falha exige centenas de GPUs, mas isso não é problema
A parte mais trabalhosa da falha é a necessidade algumas “centenas de GPUs”, como explicam os autores do estudo, que são estudantes de PhD no departamento de engenharia e computação da George Mason University. Esses equipamentos são necessários para encontrar uma chave compatível com a AirTag.
Ter centenas de GPUs pode parecer um obstáculo para hackers, mas hoje em dia já é possível alugar processamento de GPUs para tarefas complexas por centavos de dólares. O hacker não precisa contratar um servidor. Existem serviços como o Salad que permite que qualquer pessoa forneça a sua GPU para o processamento — e tudo pela nuvem.
Os autores do estudo comunicaram a Apple sobre o problema em julho de 2024. Contudo, a big tech não corrigiu a falha. Enquanto ela não faz isso, siga as dicas dos pesquisadores: mantenha o celular sempre atualizado e não aceite Bluetooth de estranhos.
Com informações de Android Authority e 9to5Mac
Falha no Buscar da Apple permite rastrear dispositivos Android
