nRootTag - Biến thiết bị Bluetooth thành Apple AirTag mà không cần quyền root

• nRootTag là một kỹ thuật tấn công mới cho phép kẻ tấn công từ xa biến thiết bị Bluetooth của người dùng thành Apple AirTag để theo dõi vị trí
• Có thể thực hiện mà không cần quyền root, và có thể nhắm tới nhiều loại thiết bị như máy tính để bàn, điện thoại thông minh, đồng hồ thông minh
• Trên toàn cầu, hơn 1,5 tỷ iPhone có thể trở thành thiết bị theo dõi miễn phí cho kẻ tấn công

Tổng quan nghiên cứu

• Mạng 'Tìm' của Apple là mạng theo dõi thiết bị lớn nhất thế giới, tận dụng hơn 1 tỷ thiết bị Apple
• Nhóm nghiên cứu đã phân tích cách lạm dụng mạng này để theo dõi thiết bị Bluetooth
• nRootTag là một kỹ thuật tấn công biến máy tính thành một 'AirTag' có thể bị theo dõi mà không cần quyền root
• Tỷ lệ tấn công thành công vượt 90%, trong khi chi phí chỉ vài đô la
• Sử dụng rainbow table cho phép tra cứu khóa tức thời, giúp tăng tốc độ theo dõi
• Hoạt động trên nhiều hệ điều hành như Linux, Windows, Android, và cũng có thể theo dõi thiết bị IoT

Cách hoạt động của mạng 'Tìm' (Find My) của Apple

• AirTag chia sẻ thông tin khóa công khai/khóa riêng với thiết bị của chủ sở hữu
• Khi AirTag tách khỏi chủ sở hữu, nó phát khóa công khai qua quảng bá BLE
• Các thiết bị Apple ở gần sẽ thu thập thông tin này, tạo báo cáo vị trí đã mã hóa rồi gửi lên đám mây Apple
• Nếu có đúng khóa riêng, có thể giải mã dữ liệu vị trí từ đám mây Apple
• Thiết bị Apple ở gần không xác minh liệu tín hiệu BLE được phát ra có thực sự đến từ thiết bị Apple hay không

Nguyên lý hoạt động của nRootTag

• Khi mã Trojan được chạy, nó thu thập địa chỉ quảng bá của thiết bị và lấy khóa công khai tương ứng từ máy chủ
• Thiết bị mục tiêu sẽ gửi tín hiệu giả mạo vào mạng 'Tìm' thông qua quảng bá BLE
• Máy chủ sử dụng rainbow table để tra cứu khóa và giải mã dữ liệu vị trí từ đám mây Apple
• Qua quá trình này, kẻ tấn công có thể theo dõi vị trí của người dùng

Benchmark GPU

• Nhóm nghiên cứu đã thử nghiệm các GPU như RTX 3070, RTX 3080, RTX 4090, A100, H100
• H100 cho tốc độ tạo khóa nhanh nhất, nhưng do chi phí cao nên RTX 3080 được đánh giá là lựa chọn kinh tế nhất

Bản vá bảo mật và ứng phó

• Nhóm nghiên cứu đã phối hợp với Apple để báo cáo lỗ hổng bảo mật
• Apple đã phát hành các bản vá bảo mật trên nhiều hệ điều hành như iOS 18.2, macOS Ventura 13.7.2, Sonoma 14.7.2
• Tuy nhiên, nếu vẫn còn iPhone hoặc Apple Watch chưa được vá ở gần, cuộc tấn công vẫn tiếp tục có hiệu lực

Hỗ trợ nghiên cứu và lời cảm ơn

• Nghiên cứu này nhận được hỗ trợ từ Quỹ Khoa học Quốc gia Mỹ NSF và Commonwealth Cyber Initiative CCI
• Đội ngũ bảo mật của Apple đã phản hồi nhanh chóng với báo cáo lỗ hổng, và nhóm nghiên cứu bày tỏ lời cảm ơn