Privacy
- Wat niemand over je mag weten
Apple AirTag privacy risks
07-05-2021, 15:57 door Erik van Straten, 22 reacties
Met een Apple AirTag kun je kwijtgeraakte spullen opsporen. Zo'n AirTag is een rond schijfje, een stukje groter in diameter dan een CR2032 knoopcel en ruim 2x zo dik. Zo'n AirTag wordt gevoed door zo'n knoopcel die je zonder gereedschap kunt vervangen.
Een AirTag zendt uit via BLE (BlueTooth Low Energy), NFC (Near Field Communication) en via Apple's gepatenteerde gebruik van UWB (Ultra Wide Band), volgens [1] (baserend op [2]) op 6.24GHz en/of 8.2368GHz; dat zijn de frequenties waar de U1 chip in de iPhone 11 en 12 (en iPod?) gebruik van maken. Met UWB kun je redelijk nauwkeurig afstand en richting bepalen, maar ook UWB (net als BLE en NFC) heeft een kort bereik (ik vermoed hooguit enkele tientallen meters).
Het bijzondere aan AirTags is dat ook zij gebruikmaken van Apple's "Find My" (NL: "Zoek Mijn") netwerk. Dit betekent dat jouw AirTag niet in de buurt van jouw iPhone hoeft te zijn om die tag te kunnen localiseren: elke iPhone waarop "Find My" niet is uitgeschakelt geeft signalen van devices binnen bereik, waaronder AirTags, door via de servers van Apple.
Gebruik van AirTags leidt tot twee potentiële privacy-risico's:
1) Denkbaar is dat anderen jouw AirTags kunnen traceren en/of jou kunnen volgen;
2) Door jouw AirTag in iemands tas (of jaszak, auto, ...) te stoppen kun je anderen volgen.
Apple claimt dat 1 niet mogelijk is (ik heb er geen onderzoek naar gedaan). Apple onderkent het risico van 2, maar heeft daar mitigerende maatregelen tegen genomen. Als je zelf een iPhone hebt en iemand anders een AirTag in jouw tas/jas stopt, zou jouw iPhone jou waarschuwen (met het risico op false positives als je naast iemand in de trein zit met zo'n AirTag, zeker als die persoon zijn/haar iPhone vergeten is of deze helemaal uitzet). Als je geen (nieuwe) iPhone hebt of "Find My" en BLE uitzet, word je waarschijnlijk nergens door gewaarschuwt als je onwetend met zo'n "bug" rondloopt. Een AirTag die niet meer met jouw iPhone kan communiceren, zou na een dag of 3 gaan piepen (die tijd zou op afstand door Apple gewijzigd kunnen worden), maar om dat tegen te gaan kan de luidspreker erin onklaar gemaakt zijn (zie hieronder).
Via [3] (zie ook [8] - last minute toevoeging ;-) vond ik een filmpje [4] van een hardware-hacker die zo'n AirTag gesloopt heeft en daarna het printplaatje en de knoopcel naast elkaar in een creditcard formaat gestopt heeft (voor in z'n portemonnee). Doordat de (elektromagnetische) luidspreker onderdeel uitmaakt van de behuizing, kan het kaartje geen geluid meer maken. Meer info over de internals van o.a. zo'n AirTag vind je o.a. in [5].
Niet alleen ik maak mij zorgen over misbruik, zie bijv. [6] en [7]. Wat denken de lezers van security.nl hiervan?
[1] https://appleinsider.com/articles/20/10/18/everything-you-need-to-know-about-ultra-wideband-in-the-iphone-12-and-homepod-mini
[2] https://www.techinsights.com/blog/apple-u1-tmka75-ultra-wideband-uwb-chip-analysis
[3] https://www.golem.de/news/bastler-airtags-in-portemonnaie-karte-verwandelt-2105-156337.html
[4] https://www.youtube.com/watch?v=7rHyAAkf5tE
[5] https://nl.ifixit.com/News/50145/airtag-teardown-part-one-yeah-this-tracks
[6] https://arstechnica.com/gadgets/2021/05/airtag-review-a-neat-product-at-odds-with-apples-pro-privacy-messaging/
[7] https://screenrant.com/airtag-track-stalk-people-apple-privacy-features-explained/
[8] https://tweakers.net/geek/181386/gebruiker-bewerkt-apple-airtag-zodat-deze-in-zijn-portemonnee-past.html
Disclaimer: alle informatie in deze bijdrage is gebaseerd op wat ik erover gelezen heb. Zowel ik als de auteurs van die informatie kunnen dingen verkeerd begrepen hebben etc. - correcties/aanvullingen zijn van harte welkom!
Een AirTag zendt uit via BLE (BlueTooth Low Energy), NFC (Near Field Communication) en via Apple's gepatenteerde gebruik van UWB (Ultra Wide Band), volgens [1] (baserend op [2]) op 6.24GHz en/of 8.2368GHz; dat zijn de frequenties waar de U1 chip in de iPhone 11 en 12 (en iPod?) gebruik van maken. Met UWB kun je redelijk nauwkeurig afstand en richting bepalen, maar ook UWB (net als BLE en NFC) heeft een kort bereik (ik vermoed hooguit enkele tientallen meters).
Het bijzondere aan AirTags is dat ook zij gebruikmaken van Apple's "Find My" (NL: "Zoek Mijn") netwerk. Dit betekent dat jouw AirTag niet in de buurt van jouw iPhone hoeft te zijn om die tag te kunnen localiseren: elke iPhone waarop "Find My" niet is uitgeschakelt geeft signalen van devices binnen bereik, waaronder AirTags, door via de servers van Apple.
Gebruik van AirTags leidt tot twee potentiële privacy-risico's:
1) Denkbaar is dat anderen jouw AirTags kunnen traceren en/of jou kunnen volgen;
2) Door jouw AirTag in iemands tas (of jaszak, auto, ...) te stoppen kun je anderen volgen.
Apple claimt dat 1 niet mogelijk is (ik heb er geen onderzoek naar gedaan). Apple onderkent het risico van 2, maar heeft daar mitigerende maatregelen tegen genomen. Als je zelf een iPhone hebt en iemand anders een AirTag in jouw tas/jas stopt, zou jouw iPhone jou waarschuwen (met het risico op false positives als je naast iemand in de trein zit met zo'n AirTag, zeker als die persoon zijn/haar iPhone vergeten is of deze helemaal uitzet). Als je geen (nieuwe) iPhone hebt of "Find My" en BLE uitzet, word je waarschijnlijk nergens door gewaarschuwt als je onwetend met zo'n "bug" rondloopt. Een AirTag die niet meer met jouw iPhone kan communiceren, zou na een dag of 3 gaan piepen (die tijd zou op afstand door Apple gewijzigd kunnen worden), maar om dat tegen te gaan kan de luidspreker erin onklaar gemaakt zijn (zie hieronder).
Via [3] (zie ook [8] - last minute toevoeging ;-) vond ik een filmpje [4] van een hardware-hacker die zo'n AirTag gesloopt heeft en daarna het printplaatje en de knoopcel naast elkaar in een creditcard formaat gestopt heeft (voor in z'n portemonnee). Doordat de (elektromagnetische) luidspreker onderdeel uitmaakt van de behuizing, kan het kaartje geen geluid meer maken. Meer info over de internals van o.a. zo'n AirTag vind je o.a. in [5].
Niet alleen ik maak mij zorgen over misbruik, zie bijv. [6] en [7]. Wat denken de lezers van security.nl hiervan?
[1] https://appleinsider.com/articles/20/10/18/everything-you-need-to-know-about-ultra-wideband-in-the-iphone-12-and-homepod-mini
[2] https://www.techinsights.com/blog/apple-u1-tmka75-ultra-wideband-uwb-chip-analysis
[3] https://www.golem.de/news/bastler-airtags-in-portemonnaie-karte-verwandelt-2105-156337.html
[4] https://www.youtube.com/watch?v=7rHyAAkf5tE
[5] https://nl.ifixit.com/News/50145/airtag-teardown-part-one-yeah-this-tracks
[6] https://arstechnica.com/gadgets/2021/05/airtag-review-a-neat-product-at-odds-with-apples-pro-privacy-messaging/
[7] https://screenrant.com/airtag-track-stalk-people-apple-privacy-features-explained/
[8] https://tweakers.net/geek/181386/gebruiker-bewerkt-apple-airtag-zodat-deze-in-zijn-portemonnee-past.html
Disclaimer: alle informatie in deze bijdrage is gebaseerd op wat ik erover gelezen heb. Zowel ik als de auteurs van die informatie kunnen dingen verkeerd begrepen hebben etc. - correcties/aanvullingen zijn van harte welkom!
Reacties (22)
Dit soort trackers bestaan al heel lang.
Apple is toevallig nu ook in die markt gedoken, waardoor het aandacht in de media krijgt.
Apple is toevallig nu ook in die markt gedoken, waardoor het aandacht in de media krijgt.
2x fout maakt het niet goed maar er zijn al veel langer tracking devices die slechts iets groter zijn en werken over het 4G netwerk zelfs inclusief stille belfunctionaliteit om gesprekken af te luisteren.
Ja, er is een privacy risico maar dat geldt voor heel veel van dat soort apparaten, ik kan ook een (oude) telefoon in je bagage stoppen.
Is het risico nu groter vanwege de afmetingen, techniek of prijs?
Ja, er is een privacy risico maar dat geldt voor heel veel van dat soort apparaten, ik kan ook een (oude) telefoon in je bagage stoppen.
Is het risico nu groter vanwege de afmetingen, techniek of prijs?
Tile had al langer van dit soort trackers. Erg handig om je spullen te vinden, maar inderdaad ook met risico's van stalking.
Apple doet tenminste nog een poging het privacy probleem op te lossen. Maar de grote massa is natuurlijk vindingrijker dan die paar engineers die daar in het diepste geheim aan moeten werken.
Ik verwacht vanzelf een versie 2, waar een en ander niet meer mogelijk mee is.
En tot die tijd: gewoon je auto en jas etc. laten sweepen eens in de zoveel tijd als je denkt dat iemand je aan het volgen is.
p.s. Er is nog wetgeving die de dader strafbaar stelt als die jouw volgt?
Apple doet tenminste nog een poging het privacy probleem op te lossen. Maar de grote massa is natuurlijk vindingrijker dan die paar engineers die daar in het diepste geheim aan moeten werken.
Ik verwacht vanzelf een versie 2, waar een en ander niet meer mogelijk mee is.
En tot die tijd: gewoon je auto en jas etc. laten sweepen eens in de zoveel tijd als je denkt dat iemand je aan het volgen is.
p.s. Er is nog wetgeving die de dader strafbaar stelt als die jouw volgt?
Door Erik van Straten: Met een Apple AirTag kun je kwijtgeraakte spullen opsporen. Zo'n AirTag is een rond schijfje, een stukje groter in diameter dan een CR2032 knoopcel en ruim 2x zo dik.
De actuele reikwijdte van Apple's sleutelring surveillance netwerk:
To locate lost items, AirTags leverage Apple's crowdsourced Find My network, estimated in early 2021 to consist of approximately 1 billion devices worldwide that detect and anonymously report emitted Bluetooth signals.
https://en.wikipedia.org/wiki/AirTag_(tracker)
Ik heb liever een ouderwetse sleutelring met een karabijnhaak, voor aan de broekriem -- want die luistert niet mee.
07-05-2021, 21:52 door
Erik van Straten
Door Anoniem: Ja, er is een privacy risico maar dat geldt voor heel veel van dat soort apparaten, ik kan ook een (oude) telefoon in je bagage stoppen.
Groter, zwaarder en een accu die snel leeg is (de CR2032 zou een jaar meegaan in een AirTag).Door Anoniem: Is het risico nu groter vanwege de afmetingen, techniek of prijs?
Ik denk vooral de techniek: UWB (ondersteund door recente modellen iPhones met U1 chip) en vooral Apple's "Find My" netwerk. Uit https://www.howtogeek.com/724200/buy-an-airtag-not-a-tile-tracker-unless-you-use-android/:As more people owned Tiles than other trackers, there was a higher chance of someone with the tracker’s app installed coming across your stuff. But with Apple incorporating AirTags into its Find My network, there are now hundreds of millions of iPhones around the world that can help you find your items.
En het kleine formaat maakt verstoppen eenvoudiger, en met IP67 zijn AirTags behoorlijk bestand tegen water.Door Anoniem: p.s. Er is nog wetgeving die de dader strafbaar stelt als die jouw volgt?
Dat weet ik niet precies. In https://www.howtogeek.com/725588/how-apples-airtags-prevent-stalkers-from-tracking-you/ staat onder meer:If someone scans a mysterious AirTag, they won’t be able to see any identifying information about the owner, but reporting such an incident to authorities could have real repercussions for any stalkers. The serial number is linked to an Apple ID, and Apple will comply with (legitimate) requests from authorities to provide the identity of anyone improperly using AirTags to track someone against their will.
Opmerkelijk vind ik wel dat Apple deze dingen uitbrengt op een moment dat iOS Apps jou moeten vragen of je gevolgd wil worden...
Door Anoniem: Er is nog wetgeving die de dader strafbaar stelt als die jouw volgt?
Artikel 285b Wetboek van Strafrecht (belaging of stalking)
1 Hij, die wederrechtelijk stelselmatig opzettelijk inbreuk maakt op eens anders persoonlijke levenssfeer met het oogmerk die ander te dwingen iets te doen, niet te doen of te dulden dan wel vrees aan te jagen wordt, als schuldig aan belaging, gestraft met een gevangenisstraf van ten hoogste drie jaren of een geldboete van de vierde categorie.
2 Vervolging vindt niet plaats dan op klacht van hem tegen wie het misdrijf is begaan.
https://wetten.overheid.nl/jci1.3:c:BWBR0001854&boek=Tweede&titeldeel=XVIII&artikel=285b
Voordat de politie tot actie over kan gaan, zal de gestalkte persoon eerst zelf aangifte moeten doen. Daarbij zullen door het slachtoffer getuigen en/of concrete bewijzen moeten worden aangedragen van het gepleegde strafbare feit.
Door Erik van Straten:
Opmerkelijk vind ik wel dat Apple deze dingen uitbrengt op een moment dat iOS Apps jou moeten vragen of je gevolgd wil worden...
Door Anoniem: Ja, er is een privacy risico maar dat geldt voor heel veel van dat soort apparaten, ik kan ook een (oude) telefoon in je bagage stoppen.
Groter, zwaarder en een accu die snel leeg is (de CR2032 zou een jaar meegaan in een AirTag).Door Anoniem: Is het risico nu groter vanwege de afmetingen, techniek of prijs?
Ik denk vooral de techniek: UWB (ondersteund door recente modellen iPhones met U1 chip) en vooral Apple's "Find My" netwerk. Uit https://www.howtogeek.com/724200/buy-an-airtag-not-a-tile-tracker-unless-you-use-android/:As more people owned Tiles than other trackers, there was a higher chance of someone with the tracker’s app installed coming across your stuff. But with Apple incorporating AirTags into its Find My network, there are now hundreds of millions of iPhones around the world that can help you find your items.
En het kleine formaat maakt verstoppen eenvoudiger, en met IP67 zijn AirTags behoorlijk bestand tegen water.Door Anoniem: p.s. Er is nog wetgeving die de dader strafbaar stelt als die jouw volgt?
Dat weet ik niet precies. In https://www.howtogeek.com/725588/how-apples-airtags-prevent-stalkers-from-tracking-you/ staat onder meer:If someone scans a mysterious AirTag, they won’t be able to see any identifying information about the owner, but reporting such an incident to authorities could have real repercussions for any stalkers. The serial number is linked to an Apple ID, and Apple will comply with (legitimate) requests from authorities to provide the identity of anyone improperly using AirTags to track someone against their will.
Opmerkelijk vind ik wel dat Apple deze dingen uitbrengt op een moment dat iOS Apps jou moeten vragen of je gevolgd wil worden...
Kijk eens op de Spyshop, trackers zo groot als een suikerklontje, ja over GSM en minder lange accuduur maar komt bijna op het zelfde neer.
Apple heeft maatregelen getroffen die binnen hun vermogen liggen om stiekem tracken te beperken, beter dan alle andere tags zou ik zeggen.
Door Anoniem:
Artikel 285b Wetboek van Strafrecht (belaging of stalking)
Door Anoniem: Er is nog wetgeving die de dader strafbaar stelt als die jouw volgt?
Artikel 285b Wetboek van Strafrecht (belaging of stalking)
Het is stalking als het niet naar 1 persoon te traceren is, bijv een Telegram groepje dat een speurtocht uitzet in de stad, net als jij aan het winkelen bent en je ziet iedere Telegrammer slechts 1x die week?
Is het stalken als het niet aangetoond kan worden en "tussen je hoofd" zit omdat je zomaar "random dingen" hoort bijv die meneer die achter je in de Appie staat aan de kassa en toevallig de 3de persoon is die dag die het over Apple Air Tags heeft.
Interessant hea
Juridisch kun je er niks mee.. en de psychiater die lacht je uit natuurlijk want dat is een continue stroom van 'kassa kassa! ka ching"
Hackers hebben de firmware van Apples AirTag weten te kraken. Daardoor zijn kleine wijzigingen aan de gadget mogelijk, zo kan de url waarnaar de tag verwijst aangepast worden. Ook zijn de datapunten op het pcb gemapt.
https://tweakers.net/nieuws/181446/jailbreakers-weten-firmware-van-airtag-te-kraken-en-nfc-link-aan-te-passen.html
11-05-2021, 13:17 door
Erik van Straten
Door Anoniem: Hackers hebben de firmware van Apples AirTag weten te kraken. [...]
Dank voor de update!Het privacy-risico van het kunnen aanpassen van de URL die de tag via NFC naar een smarter device stuurt, lijkt mij op het eerste gezicht beperkt.
Het grootste risico is, vermoed ik, het via "Find My" kunnen versturen van informatie naar keuze, met vermoedelijk de beperking dat je niet veel data kunt versturen (dat zou Apple kunnen opmerken).
Als ik het goed begrepen heb is die informatie end-to-end versleuteld (dus tussen jouw smartphone en daaraan gekoppelde tag, en natuurlijk ook de andere kant op). In theorie kun je bijv. gegevens van de in de AirTag ingebouwde versnellingssensor (ook bewegingssensor genoemd) meesturen - waarvan ik vermoed dat dit standaard niet gebeurt. Op Twitter werd er gefilosofeerd over het gebruik van die versnellingssensor als microfoon. Dat zie ik niet zo snel gebeuren, want dat kost veel bandbreedte. De 32MB RAM in zo'n tag is welliswaar meer dan ik in mijn eerste computers had, maar ook weer niet heel veel om landurig geluid op te slaan.
Enger wordt het als je andere sensors aan zo'n AirTag weet te koppelen (bijv. GPS, echte microfoon) en/of er een SD-kaartje aan kunt knopen. Bulk data kun je dan opslaan op zo'n geheugenkaartje (niet nieuw) maar events kun je dan, E2EE, via het uitgebreide "Find My" netwerk van Apple devices versturen (wel nieuw). Iedereen mer een iPhone is dan een soort TOR-node waarvan we weten dat zo'n netwerk niet alleen voor legitieme doeleinden wordt ingezet.
Zo kan ik me voorstellen dat (drugs-) criminelen AirTags ook erg handig zullen vinden. Tip voor de politie en douane: scan op de zendfrequenties van AirTags (en Tile's etc.) voordat je ladingen doorzoekt [*]. En help de criminelen niet door met een iPhone met BlueTooth en/of " "Find My" aan in de buurt van die ladingen te komen. Nb. ik weet niet zeker of "Find My" blijft ontvangen als je "Find My" uitzet. Zelfs in vliegtuigmodus zou ontvangen door kunnen gaan en gegevens kunnen worden gecached en doorgezonden zodra je weer online gaat; echt uitzetten is het veiligst.
[*] Je zult wel even moeten scannen, want om batterij te sparen zullen AirTags niet voortdurend zenden. Zie bijv. https://www.zdnet.com/article/can-an-iphone-in-a-speeding-car-help-find-a-lost-airtag/.
Door Erik van Straten:
Het privacy-risico van het kunnen aanpassen van de URL die de tag via NFC naar een smarter device stuurt, lijkt mij op het eerste gezicht beperkt.
...
Door Anoniem: Hackers hebben de firmware van Apples AirTag weten te kraken. [...]
Dank voor de update!Het privacy-risico van het kunnen aanpassen van de URL die de tag via NFC naar een smarter device stuurt, lijkt mij op het eerste gezicht beperkt.
...
Wanneer de aanvaller de locatie weet van de tags, dan weet de aanvaller direct de locatie van de iPhone (onder de conditie dat de iPhone ook de gegeven URL gebruikt).
Verder is het natuurlijk interessant wat de iPhone doet met de gegevens die het terugkrijgt van de aangesproken URL. Worden daaruit gegevens geparsed op de iPhone, wat vervolgens weer een attack-vector kan zijn?
12-05-2021, 00:21 door
Erik van Straten
Door Anoniem: Wanneer de aanvaller de locatie weet van de tags, dan weet de aanvaller direct de locatie van de iPhone (onder de conditie dat de iPhone ook de gegeven URL gebruikt).
Misschien haal je twee zaken door elkaar.In elk geval in theorie zou de gemeente Enschede (recentelijk beboet voor WiFi-tracking) in elke lantarenpaal een AirTag kunnen verstoppen en zo bewegingen van iPhone-bezitters in kaart kunnen brengen (om piepende lantarenpalen te voorkomen moet een ambtenaar binnen elke 3 dagen met "de gemeente-iPhone" langs alle lantarenpalen). Door dit bijv. met camerabeelden te correleren kun je veel te weten komen. Er zijn ongetwijfeld meer serieuze aanvalsscenario's denkbaar.
Met de nu bekende hack moet een gebruiker diens iPhone zeer dicht in de buurt van een AirTag brengen om de non-standard URL uit te lezen (via NFC). Dat lijkt mij niet gevaarlijker dan een QR-code scannen die je op steeds meer plaatsen tegenkomt (o.a. op stickers op - daar zijn ze weer - lantarenpalen).
Door Anoniem: Verder is het natuurlijk interessant wat de iPhone doet met de gegevens die het terugkrijgt van de aangesproken URL. Worden daaruit gegevens geparsed op de iPhone, wat vervolgens weer een attack-vector kan zijn?
In principe kan dat, maar nogmaals, dit lijkt me niet gevaarlijker dan het scannen van een ogenschijnlijk betrouwbare QR-code of het klikken op een link naar een gehackte website.Ik maak me meer zorgen over misbruik van het Find My netwerk zoals ik beschreef in mijn vorige bijdrage.
12-05-2021, 16:23 door
Erik van Straten
Nederlandstalig filmpje met aandacht voor de privacy-risico's van AirTags: https://www.rtlnieuws.nl/tech/video/5229676/wat-zijn-de-gevaren-van-de-airtags-en-meer-vragen.
Door Erik van Straten:
In elk geval in theorie zou de gemeente Enschede (recentelijk beboet voor WiFi-tracking) in elke lantarenpaal een AirTag kunnen verstoppen en zo bewegingen van iPhone-bezitters in kaart kunnen brengen (om piepende lantarenpalen te voorkomen moet een ambtenaar binnen elke 3 dagen met "de gemeente-iPhone" langs alle lantarenpalen). Door dit bijv. met camerabeelden te correleren kun je veel te weten komen. Er zijn ongetwijfeld meer serieuze aanvalsscenario's denkbaar
Ja zo kun je bij iedere oplossing wel een probleem bedenken...In elk geval in theorie zou de gemeente Enschede (recentelijk beboet voor WiFi-tracking) in elke lantarenpaal een AirTag kunnen verstoppen en zo bewegingen van iPhone-bezitters in kaart kunnen brengen (om piepende lantarenpalen te voorkomen moet een ambtenaar binnen elke 3 dagen met "de gemeente-iPhone" langs alle lantarenpalen). Door dit bijv. met camerabeelden te correleren kun je veel te weten komen. Er zijn ongetwijfeld meer serieuze aanvalsscenario's denkbaar
In werkelijkheid heb je als gemeente natuurlijk geen behoefte om dit soort dingen "stiekem" te doen. Die tracking van
WiFi en bluetooth signalen gebeurt gewoon in-the-open met kastjes die aan lantarenpalen bevestigd zijn, en als dat dan
blijkbaar niet mag dan kan men gewoon de zaak aanpassen op een zodanige manier dat het wel mag, of er mee stoppen
en dan bepaalde gegevens niet meer hebben (dit wordt bijvoorbeeld gebruikt om de capaciteit van het wegennet in de
gaten te houden zowel voor auto's als voor voetgangers in een druk centrum bijvoorbeeld). Is die info er niet meer dan
even goede vrienden, dan kan men daar gewoon geen beleid meer op maken en als er problemen zijn of ongelukken
gebeuren verwijzen naar dit verbod.
Maar men denkt bij zo'n gemeente echt niet "oh we zijn betrapt maar we kunnen het met AirTags doen en dan is het
verborgen en dan kunnen we die Erik toch nog volgen". En als iemand jou wil volgen dan is dat echt niet de gemeente.
14-05-2021, 09:32 door
Erik van Straten
Door Anoniem: Ja zo kun je bij iedere oplossing wel een probleem bedenken...
Misschien vind jij dat ongewenst, maar dat is wat beveiligingsonderzoekers doen en fabrikanten zouden moeten doen.In dit speciefieke geval schreef ik "In elk geval in theorie [...] Er zijn ongetwijfeld meer serieuze aanvalsscenario's denkbaar" omdat ik aan Anoniem 11-05-2021, 13:25 probeerde uit te leggen waarom zij/hij mogelijk een verkeerde voorstelling van zaken heeft.
Door Anoniem: Maar men denkt bij zo'n gemeente echt niet "oh we zijn betrapt maar we kunnen het met AirTags doen en dan is het verborgen en dan kunnen we die Erik toch nog volgen".
Fijn dat jij precies weet wat alle gemeemteambtenaren en wethouders allemaal denken, maar ik gaf slechts een theoretisch voorbeeld.In https://positive.security/blog/send-my is een zeer uitgebreide beschrijving te vinden van hoe je misbruik zou kunnen maken van Apple's "Find my" netwerk.
Bron: https://www.theregister.com/2021/05/12/apples_find_network/.
Aanvulling: interessant, security.nl weigert om hierboven een clickable link te maken van [url]https://positive.security/blog/send-my[/url].
Bron: https://www.theregister.com/2021/05/12/apples_find_network/.
Aanvulling: interessant, security.nl weigert om hierboven een clickable link te maken van [url]https://positive.security/blog/send-my[/url].
Door Erik van Straten: Aanvulling: interessant, security.nl weigert om hierboven een clickable link te maken van [url]https://positive.security/blog/send-my[/url].
Dat was mij ook eerder opgevallen. Geen van de "ICANN-era generic top-level domains" wordt door het Security.NL forum als een valide URL herkent. Dat zijn de nieuwe, voorgestelde langere TLDs, van .academy t/m .zone
https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains#ICANN-era_generic_top-level_domains
Onderzoeker: Apple Airtag kan aantonen wanneer bewoners niet thuis zijn
maandag 17 mei 2021, 16:41 door Redactie
https://www.security.nl/posting/703811/
maandag 17 mei 2021, 16:41 door Redactie
https://www.security.nl/posting/703811/
Kennelijk zijn ook bij Apple de zorgen toegenomen over het middels AirTags tracken (volgen) van nietsvermoedende mensen, want Apple heeft daar een firmware-update voor uitgebracht. Na deze update zou de AirTag, in plaats van pas na 3 dagen, na een random tijd tussen 8 en 24 uur -nadat het contact met de eigenaar is verbroken- gaan piepen (bron: [1], zie ook [2], [3]).
Mensen die zo'n ding inzetten om anderen te volgen zullen waarschijnlijk het speakertje erin loskoppelen, deze update helpt daar natuurlijk niet tegen.
Ik neem aan dat als ik Bluetooth uitzet op mijn smartphones (iPhone en Android 10) dat dan ook de ontvanger wordt uitgeschakeld (zeker weten doe ik dat niet). Als dat wel zo is, zullen eigenaars van wat oudere iPhones (zonder U1 chip), die Bluetooth uit hebben staan, niet door hun iPhone gewaarschuwd worden als een onbekende (niet aan hun Apple devices gekoppelde) AirTag met hen meereist. En dat geldt zeker voor mensen zonder smartphone.
Apple heeft aangekondigd eind van dit jaar een Android app te publiceren die ook eigenaren van Android smartphones kan waarschuwen bij een "meereizende" onbekende AirTag. Hoeveel (of hoe weinig) Android-gebruikers die Apple-app gaan installeren, lijkt mij nog wel een vraag.
[1] https://www.zdnet.com/article/apple-to-tweak-airtag-privacy-launch-android-app-later-this-year/
[2] https://www.zdnet.com/article/how-to-tell-if-your-apple-airtags-firmware-has-been-updated/
[3] https://tweakers.net/nieuws/182624/apple-brengt-later-dit-jaar-android-app-uit-om-airtags-te-detecteren.html
Mensen die zo'n ding inzetten om anderen te volgen zullen waarschijnlijk het speakertje erin loskoppelen, deze update helpt daar natuurlijk niet tegen.
Ik neem aan dat als ik Bluetooth uitzet op mijn smartphones (iPhone en Android 10) dat dan ook de ontvanger wordt uitgeschakeld (zeker weten doe ik dat niet). Als dat wel zo is, zullen eigenaars van wat oudere iPhones (zonder U1 chip), die Bluetooth uit hebben staan, niet door hun iPhone gewaarschuwd worden als een onbekende (niet aan hun Apple devices gekoppelde) AirTag met hen meereist. En dat geldt zeker voor mensen zonder smartphone.
Apple heeft aangekondigd eind van dit jaar een Android app te publiceren die ook eigenaren van Android smartphones kan waarschuwen bij een "meereizende" onbekende AirTag. Hoeveel (of hoe weinig) Android-gebruikers die Apple-app gaan installeren, lijkt mij nog wel een vraag.
[1] https://www.zdnet.com/article/apple-to-tweak-airtag-privacy-launch-android-app-later-this-year/
[2] https://www.zdnet.com/article/how-to-tell-if-your-apple-airtags-firmware-has-been-updated/
[3] https://tweakers.net/nieuws/182624/apple-brengt-later-dit-jaar-android-app-uit-om-airtags-te-detecteren.html
Mensen die zo'n ding inzetten om anderen te volgen zullen waarschijnlijk het speakertje erin loskoppelen, deze update helpt daar natuurlijk niet tegen.
Ik ben benieuwd waar Apple nog mee gaat komen in aankomende updates, want op zich zouden ze best kunnen detecteren als die speaker kapot is gemaakt.
Wel goed om te zien dat eigenlijk nu de stap is gezet naar veiligere varianten van dit soort trackers. De TILE die ik heb kan ik gerust met iemand laten meereizen zonder dat die dat ooit gaat merken.
Nadeel is dan wel weer dat als ik ze op de rugtas van de kinderen doe, het best wel eens (school) meer dan 8 uur kan zijn voor ik die tas weer in het bereik van mijn mobiel heb.
05-06-2021, 21:00 door
Erik van Straten
Door Anoniem: Wel goed om te zien dat eigenlijk nu de stap is gezet naar veiligere varianten van dit soort trackers. De TILE die ik heb kan ik gerust met iemand laten meereizen zonder dat die dat ooit gaat merken.
Nadeel is dan wel weer dat als ik ze op de rugtas van de kinderen doe, het best wel eens (school) meer dan 8 uur kan zijn voor ik die tas weer in het bereik van mijn mobiel heb.
Dat kon wel eens gaan veranderen. Ik overweeg een artikeltje te schrijven over Amazon Sidewalk en ben me daarin aan het verdiepen. Sidewalk is een mesh-netwerk via Amazon devices waaronder Ring en Alexa, dat 8 juni in de USA aangezet gaat worden - voor gebruikers van Amazon devices opt out wel te verstaan. Dit netwerk zou, naar verluidt, ook TILEs ondersteunen. Wanneer dit in EU-landen en/of NL aangezet gaat worden is onbekend (althans ik heb dat niet kunnen vinden).Nadeel is dan wel weer dat als ik ze op de rugtas van de kinderen doe, het best wel eens (school) meer dan 8 uur kan zijn voor ik die tas weer in het bereik van mijn mobiel heb.
Persoonlijk vind ik dit enger dan AirTags. Hoewel de bandbreedte van Sidewalk "beperkt" is tot 80kbps of 500MB per maand en alleen "trusted" devices toegang zouden moeten kunnen krijgen, betekent dit in elk geval dat gehackte "trusted" devices via jouw internet-aansluiting het internet op kunnen en jij aanvankelijk aansprakelijk gesteld kunt worden voor uitgehaald "kattenkwaad". En vanaf zo'n 'trusted" device bij de buren (of in een zwart busje voor jouw deur) kunnen wellicht ook jouw "trusted" devices worden gehacked en/of jouw (deurbel) camera's en/of alarmsysteem worden uitgeschakeld.
Uitgaan van een "trusted network" is niet meer van deze tijd, maar dat wil m.i. niet zeggen dat je elke onbekende maar moet binnenlaten en ongezien zijn gang laten gaan.
Door Erik van Straten: Ik overweeg een artikeltje te schrijven over Amazon Sidewalk en ben me daarin aan het verdiepen. Sidewalk is een mesh-netwerk via Amazon devices waaronder Ring en Alexa, dat 8 juni in de USA aangezet gaat worden - voor gebruikers van Amazon devices opt out wel te verstaan.
AWS wil met een "druk op de knop" een wereldomspannende ISP worden, zonder gebruik te maken van glasvezels.
https://www.theguardian.com/technology/2021/jun/01/amazon-us-customers-given-one-week-to-opt-out-of-mass-wireless-sharing
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
