| 7 ноября 2024 г. — 15:53 PT
9to5Mac Security Bite эксклюзивно представлен Mosyle, единственной унифицированной платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для предприятий. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения безопасности, специфичные для Apple, для полностью автоматизированного усиления безопасности и соответствия требованиям, EDR нового поколения, основанное на искусственном интеллекте управление доступом с нулевым доверием и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. В результате получается полностью автоматизированная унифицированная платформа Apple, которой доверяют более 45 000 организаций, чтобы без усилий и по доступной цене сделать миллионы устройств Apple готовыми к работе. Запросите расширенный пробный период сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
На этой неделе я хочу поделиться захватывающим докладом, который я нашел в социальных сетях об одной из служб Apple, которая, похоже, не привлекает особого внимания в сообществе: CarPlay. Хотя Apple публично не раскрывает точное количество пользователей CarPlay, я бы рискнул предположить, что это одна из самых используемых ею служб. И одна из самых больших проблем — это все, что может поставить под угрозу безопасность водителя или его конфиденциальность. Так насколько же безопасен CarPlay?
На IT-конференции TROOPERS24 в Гейдельберге, Германия, исследователь безопасности Ханна Нёттген представила доклад под остроумным названием «Apple CarPlay: что под капотом». В этой сессии Нёттген подробно рассмотрела базовую архитектуру безопасности CarPlay, чтобы оценить, насколько безопасна эта служба на самом деле. Она объяснила, что CarPlay полагается на два основных протокола: проприетарный IAPv2 (iPod Accessory Protocol version 2) от Apple для аутентификации и AirPlay для потоковой передачи мультимедиа. Вместе они обеспечивают бесперебойную работу, которую мы все полюбили, позволяя водителям получать доступ к сообщениям, звонкам, музыке, заказывать Chick-fil-A и другим функциям, не разблокируя свои телефоны.
Но это удобство сопряжено с определенными рисками.
В ходе своего анализа Нёттген исследовала несколько векторов атак, сосредоточившись на рисках несанкционированного доступа к личной информации, что могло бы поставить под угрозу конфиденциальность и безопасность водителя. Хотя система аутентификации CarPlay достаточно защищена для предотвращения атак повторного воспроизведения, Нёттген обнаружила другие векторы, такие как DoS-атаки, направленные на любые беспроводные сторонние адаптеры AirPlay, которые остались возможными, хотя и трудными для выполнения, но возможными.
Еще одним интересным аспектом является жесткий контроль Apple над оборудованием CarPlay через программу Made for iPhone (MFi). Все сертифицированные устройства CarPlay обязаны включать в себя чип аутентификации Apple, который производители автомобилей оплачивают для интеграции в свои транспортные средства. Хотя закрытая экосистема Apple подвергалась критике за ограничение доступа сторонних разработчиков, она также создает серьезное препятствие для потенциальных злоумышленников. Чтобы провести сложную атаку, такую как извлечение закрытого ключа, злоумышленнику потребуется физический доступ к чипу MFi.
Нёттген завершила свой доклад, указав на области, которые требуют дальнейшего изучения, такие как потенциальные методы извлечения закрытых ключей и проведение более всестороннего тестирования протоколов CarPlay. Ее беспокойство заключается в том, что если злоумышленники смогут получить эти ключи, они смогут перехватывать и расшифровывать конфиденциальную информацию.
К сожалению, проприетарный характер как IAPv2, так и реализации AirPlay от Apple делает независимую проверку безопасности довольно сложной. Я очень рекомендую читателям ознакомиться с докладом Ханны Нёттген ниже, он довольно интересный и увлекательный!
Вы можете скачать полную презентацию здесь.
О Security Bite: Security Bite — это еженедельная колонка 9to5Mac, посвященная безопасности. Каждую неделю Арин Вайчулис предоставляет аналитические сведения о конфиденциальности данных, раскрывает уязвимости или проливает свет на возникающие угрозы в обширной экосистеме Apple из более чем 2 миллиардов активных устройств, чтобы помочь вам оставаться в безопасности.