AppleのAirTagは、近くのAppleデバイスの広大なネットワークに依存して、ユーザーが失われたアイテムを追跡するのを支援するために設計されています。新しい研究により、この同じシステムがAirTagがかつて存在したことのない場所を表示するために操作される可能性があることが示されています。
AirTagのBLEアドバタイズメントをインターネット経由でリレーすると、Find Myシステムに偽の位置情報レポートが注入されます
攻撃の仕組み
Find Myネットワークは、AirTagによってブロードキャストされるBluetooth Low Energy(BLE)シグナルに依存しています。iPhoneまたは他のAppleデバイスがこれらのシグナルの1つを検出すると、暗号化された位置情報レポートをAppleに送信します。所有者はFind Myアプリでその位置を確認できます。暗号化は身元を保護しますが、報告された位置が本物であるかどうかをシステムが確認するのを防ぎます。
研究者は、この制限を利用したリレー攻撃を実証しました。彼らはAndroidデバイス、Linuxシステム、および小型の組み込みハードウェアを使用してテストAirTagからBluetoothシグナルをキャプチャしました。シグナルを記録した後、元のAirTagからバッテリーを取り外し、カスタム送信機を使用して異なる位置からキャプチャされたデータを再生しました。
再生されたシグナルの近くのAppleデバイスは、元のAirTagから来たものとして扱いました。これらのデバイスは新しい位置に基づいて位置情報レポートを生成し、Find Myアプリはその位置を表示しました。キャプチャされたデータをインターネット経由で送信し、別の国で再生することで、同じアプローチは長距離で機能しました。
Find Myで競合するシグナルを処理する
元のAirTagと再生されたシグナルの両方がアクティブな場合、アプリは2つの位置を切り替えることができます。表示される位置は、どのレポートが処理されるかに応じて、真の位置から注入された位置にジャンプする可能性があります。
システムはレポートを2つの方法で処理します。クラウドレポートは現在の暗号化キーを使用する場合のみ受け入れられます。このキーは約24時間ごとに変更されます。古いキーはローテーション後に機能を停止します。所有者のデバイスが近くにある場合、ローカルBluetoothシグナルが優先され、クラウドデータをオーバーライドし、表示内容に影響を与える可能性があります。
キャプチャされたシグナルは限られた時間使用可能です。キーローテーションが一時停止された場合、たとえばAirTagのバッテリーを取り外すことで、再生されたシグナルはシステムがそれらを古いとマークする前に、最大7日間位置情報レポートを生成し続けることができます。
テストをサポートするために、研究者はキャプチャされたシグナルを保存し、最初に見られたときを追跡し、リプレイされるときを制御するリレーサーバーを構築しました。このセットアップにより、なりすまされた位置がどのくらい続くことができるかの繰り返しテストが可能になりました。
「当社の結果は、AppleのFind Myプロトコルの設計が実用的なリレー攻撃に対して脆弱であることを示しています。セキュリティコミュニティにこの攻撃ベクトルを強調することを超えて、将来の作業は、リレーが不正追跡をあいまいにまたは中断することによってストーキングに対する能動的な対抗手段として目的を変更することができるかどうかを検証します」と研究者は述べました。
翻訳元: https://www.helpnetsecurity.com/2026/04/17/apple-airtag-relay-attack-location/
