9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji oraz ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM na rynku. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.
W tym tygodniu chcę podzielić się fascynującą przemówieniem, na które natrafiłem w mediach społecznościowych, na temat usługi Apple, która nie cieszy się tak dużym zainteresowaniem społeczności: CarPlay. Choć Apple nie ujawnił publicznie dokładnej liczby użytkowników CarPlay, zaryzykowałbym stwierdzenie, iż jest to jedna z najczęściej używanych usług. Jedną z największych obaw jest wszystko, co może zagrozić bezpieczeństwu lub prywatności kierowcy. Jak bezpieczny jest CarPlay?
Na konferencji IT TROOPERS24 w Heidelbergu w Niemczech badaczka bezpieczeństwa Hannah Nöttgen wygłosiła wykład sprytnie zatytułowany „Apple CarPlay: co kryje się pod maską”. Podczas tej sesji Nöttgen zagłębił się w podstawową architekturę zabezpieczeń CarPlay, aby ocenić, jak naprawdę bezpieczna jest ta usługa. Wyjaśniła, iż CarPlay opiera się na dwóch głównych protokołach: zastrzeżonym przez firmę Apple IAPv2 (protokół iPod Accessory Protocol w wersji 2) do uwierzytelniania i AirPlay do strumieniowego przesyłania multimediów. Razem zapewniają one bezproblemową obsługę, którą wszyscy pokochaliśmy, umożliwiając kierowcom dostęp do wiadomości, połączeń, muzyki, zamów Chick-fil-Ai inne funkcje bez konieczności odblokowywania telefonów.
Ale ta wygoda wiąże się z pewnym ryzykiem.
Podczas swojej analizy Nöttgen zbadała kilka wektorów ataków, koncentrując się na ryzyku nieuprawnionego dostępu do danych osobowych, który mógłby zagrozić prywatności i bezpieczeństwu kierowców. Chociaż system uwierzytelniania CarPlay jest dość wzmocniony, aby zapobiegać atakom polegającym na powtarzaniu, Nöttgen odkrył inne wektory, takie jak ataki DoS wymierzone w dowolną sieć bezprzewodową adaptery AirPlay innych firm pozostało możliwe, choć trudne do wykonania, ale możliwe.
Kolejną interesującą warstwą jest ścisła kontrola Apple nad sprzętem CarPlay poprzez program Made for iPhone (MFi). Wszystkie certyfikowane urządzenia CarPlay muszą być wyposażone w chip uwierzytelniający Apple, który producenci samochodów płacą za integrację ze swoimi pojazdami. Chociaż zamknięty ekosystem Apple spotkał się z krytyką za ograniczanie dostępu stron trzecich, stwarza również znaczną przeszkodę dla potencjalnych atakujących. Aby przeprowadzić wyrafinowany atak, taki jak wydobycie klucza prywatnego, aktor potrzebowałby fizycznego dostępu do chipa MFi.
Nöttgen zakończyła swoje wystąpienie wskazaniem obszarów wymagających dalszej eksploracji, takich jak potencjalne metody wydobywania kluczy prywatnych i przeprowadzania bardziej kompleksowych testów protokołów CarPlay. Martwi się, iż gdyby atakujący mogli zdobyć te klucze, mogliby przechwycić i odszyfrować poufne informacje.
Niestety, zastrzeżony charakter zarówno protokołu IAPv2, jak i implementacji AirPlay firmy Apple sprawia, iż niezależna weryfikacja bezpieczeństwa jest dość trudna. Gorąco zachęcam czytelników do zapoznania się z poniższą przemową Hannah Nöttgen, jest całkiem interesująca i zabawna!
Możesz pobrać plik pełna prezentacja Tutaj.
O Ugryzienie bezpieczeństwa: Security Bite to cotygodniowa kolumna poświęcona bezpieczeństwu na 9to5Mac. Tygodniowo, Arina Waichulisa zapewnia wgląd w prywatność danych, odkrywa luki w zabezpieczeniach lub rzuca światło na pojawiające się zagrożenia w rozległym ekosystemie Apple obejmującym ponad 2 miliardy aktywnych urządzeńS aby pomóc Ci przez cały czas być bezpiecznym.
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
