Apple的安全分析“找到我的...”协议

摘要：一夜之间，苹果已将百万百万个设备生态系统转为世界上最大的人群地点跟踪网络，称为离线查找（OF）。利用在线查找器设备来检测使用蓝牙的丢失的离线设备的存在，并通过Internet向所有者报告近似位置。虽然不是第一系统的那种系统，但它是第一个承诺强大的隐私目标。特别是旨在确保查找器匿名，所有者设备的不可读地力，以及位置报告的机密性。本文介绍了对此的第一个全面的安全和隐私分析。为此，我们通过逆向工程恢复闭合协议源的规格。我们通过实验表明对位置报告的未经授权访问允许准确的设备跟踪，并在城市区域的10米处的误差中检索用户的顶部位置。虽然我们发现的设计实现了隐私目标，但我们发现两个不同的设计和实施缺陷，可以导致位置相关攻击和未经授权访问过去七天的位置历史，这可能是Deanymentify用户。苹果已在负责披露后部分解决了问题。最后，我们将我们的研究伪影公开提供。

GitHub还提供代码，它允许通过Apple的查找网络跟踪任意蓝牙设备。