W poniedziałek Apple i Google oficjalnie ogłosiły wprowadzenie nowej funkcji, która powiadamia użytkowników korzystających z systemów iOS i Android o urządzeniu śledzącym ich za pomocą Bluetooth, oczywiście bez ich wiedzy i zgody.
„To pomoże ograniczyć niewłaściwe użycie urządzeń zaprojektowanych do śledzenia rzeczy” – stwierdziły firmy we wspólnym oświadczeniu, dodając, że ma to na celu zajęcie się potencjalnymi zagrożeniami dla prywatności i bezpieczeństwa użytkowników.
Propozycja rozwiązania wieloplatformowego została pierwotnie zaprezentowana dokładnie rok temu przez dwóch technologicznych gigantów: Apple oraz Google.
Nowa funkcja została nazwana „Detecting Unwanted Location Trackers” (DULT) i jest dostępna na urządzeniach z Androidem w wersji 6.0 i nowszych oraz na urządzeniach iOS z systemem iOS 17.5, który został oficjalnie dostarczony kilka dni temu.
Zgodnie ze specyfikacją użytkownicy Androida otrzymają alert „Tracker travelling with you”, jeśli telefon wykryje, że niezidentyfikowane urządzenie śledzące Bluetooth porusza się wraz z nimi przez pewien czas, niezależnie od platformy, z którą jest sparowane. W systemie iOS użytkownicy otrzymają komunikat „[Item] Found Moving With You”.
Niezależnie od systemu operacyjnego użytkownicy, którzy otrzymają takie powiadomienie, mają możliwość wyświetlenia identyfikatora modułu śledzącego, odtworzenia dźwięku pomagającego go zlokalizować oraz uzyskania instrukcji umożliwiających jego wyłączenie.
Taka wieloplatformowa współpraca – chyba pierwsza w branży obejmująca także wkład społeczności – zapewnia producentom instrukcje i najlepsze praktyki, jeśli zdecydują się na wbudowanie w swoje produkty funkcji powiadamiania o śledzeniu.
Opracowana technologia jest oczywiście odpowiedzią na doniesienia, że moduły śledzące takie jak AirTags są wykorzystywane przez przestępców czy prześladowców do stałego lokalizowania innych osób, bazując na informacjach wysyłanych z ich telefonów komórkowych.
W pozwie zbiorowym złożonym przeciwko Apple w październiku 2023 r. zarzucono, że AirTagi stały się „jedną z najbardziej niebezpiecznych i przerażających technologii stosowanych przez prześladowców” i że można ich używać do ustalania „informacji o lokalizacji w czasie rzeczywistym w celu śledzenia ofiar”.
W zeszłym roku grupa badaczy z Uniwersytetu Johnsa Hopkinsa i Uniwersytetu Kalifornijskiego w San Diego opracowała schemat kryptograficzny zapewniający kompromis między prywatnością użytkowników a wykrywaniem prześladowców za pośrednictwem mechanizmu zwanego multi-dealer secret sharing (MDSS).
MDSS rozszerza standardowe udostępnianie sekretów, aby umożliwić wielu dostawcom posiadanie wielu sekretów, jednocześnie uzyskując nowe właściwości w zakresie możliwości rozłączenia i poprawności w przypadku wielu różnych producentów.
Ogłoszenie DULT jest również następstwem decyzji Apple o udostępnieniu wydanej w marcu 2024 r. poprawki dotyczącej luki w zabezpieczeniach systemu operacyjnego czasu rzeczywistego RTKit (CVE-2024-23296) na urządzeniach ze starszymi wersjami systemów iOS, iPadOS i macOS.
Luka, która pozwala osobie atakującej z dowolną możliwością odczytu i zapisu jądra systemu na ominięcie zabezpieczeń pamięci jądra, została aktywnie wykorzystana w środowisku naturalnym, chociaż szczegóły techniczne dotyczące charakteru tych ataków nie są obecnie znane.
Poprawki tego błędu dostępne są w następujących wersjach:
- iOS 16.7.8 i iPadOS 16.7.8 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generacji, iPad Pro 9,7 cala i iPad Pro 12,9 cala 1. Generacji oraz
- macOS Ventura 13.6.7 – komputery Mac z systemem macOS Ventura.
Aktualizacja Apple do iOS 17.5 naprawia łącznie 15 luk w zabezpieczeniach, w tym luki w AppleAVD (CVE-2024-27804) i jądrze (CVE-2024-27818), które można wykorzystać do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Te same dwie podatności zostały naprawione w systemie macOS Sonoma 14.5.