Bul ağı aracılığıyla herhangi biri nasıl izlenir?

AirTag’ler, anahtarını unutanlardan kıskanç eşler ve araba hırsızları gibi kötü niyetli kişilere kadar herkes tarafından kullanılan popüler bir izleme cihazıdır. AirTag’leri casusluk için kullanmak basittir: Hedefin üzerine gizlice bir etiket yerleştirilir ve Apple Bul aracılığıyla hareketlerin rahatça izlenebilmesi sağlanır. Android için ürünlerimize AirTag tabanlı izlemeye karşı koruma bile ekledik.

Ancak güvenlik araştırmacıları tarafından yapılan yeni bir çalışma, şaşırtıcı bir şekilde uzaktan izlemenin bir AirTag satın almaya veya fiziksel olarak hedefin yakınında olmaya bile bağlı olmadığını ortaya koydu. Birinin Windows, Android veya Linux cihazına (bilgisayar veya telefon gibi) özel bir kötü amaçlı yazılım yerleştirmeyi başarırsanız, cihazın Bluetooth’unu kullanarak yakındaki Apple cihazlarının AirTag’den geldiğini düşüneceği bir sinyal gönderebilir. Yani kısacası virüs bulaşmış telefon veya bilgisayar, Apple aygıtları için, bir milyardan fazla Apple telefon ve tabletin bulunduğu Bul ağı aracılığıyla izlenebilen büyük boy bir AirTag haline gelir.

Saldırının anatomisi

Saldırı, Bul teknolojisinin iki özelliğinden faydalanır.

İlk olarak, bu ağ uçtan uca şifreleme kullanır, böylece katılımcılar kimin sinyallerini ilettiklerini bilmezler. Bilgi alışverişi için AirTag ve sahibinin telefonu bir çift kriptografik anahtar kullanır. Kayıp bir AirTag, Bluetooth aracılığıyla “çağrı işaretlerini” yayınladığında, Bul ağı “dedektörleri” (yani, Bluetooth ve internet erişimi olan herhangi bir Apple aygıtı, kime ait olursa olsun) AirTag’in coğrafi konum verilerini Apple sunucularına iletir. Veriler kayıp AirTag’in genel anahtarı ile şifrelenir.

Ardından, herhangi bir cihaz sunucudan şifrelenmiş konum verilerini isteyebilir ancak şifreli olduğu için Apple, sinyalin kime ait olduğunu ya da hangi cihazın istediğini bilmez. Buradaki en önemli nokta, bir kişinin yalnızca ilgili özel anahtara sahip olarak verilerin şifresini çözebilmesi ve hem AirTag’in kime ait olduğunu hem de tam konumunu bulabilmesidir. Dolayısıyla, bu veriler yalnızca bu AirTag ile eşleştirilmiş akıllı telefonun sahibinin işine yarar.

Bul‘un bir başka özelliği de dedektörlerin konum sinyalinin gerçekten bir Apple aygıtından gelip gelmediğini doğrulamamasıdır. Bluetooth Düşük Enerji (BLE) protokolünü destekleyen tüm cihazlar bunu yayınlayabilir.

Bu özelliklerden faydalanmak için araştırmacılar aşağıdaki yöntemi geliştirdiler:

1. Android, Windows veya Linux çalıştıran bir bilgisayara, telefona veya başka bir cihaza kötü amaçlı yazılım yükleyip Bluetooth adaptör adresini kontrol ederler.
2. Saldırganların sunucusu bu bilgileri alır ve cihazın Bluetooth adresine özel ve Apple’ın Bul teknolojisiyle uyumlu bir çift şifreleme anahtarı oluşturmak için güçlü ekran kartları kullanır.
3. Açık anahtar virüslü cihaza geri gönderilir ve kötü amaçlı yazılım daha sonra AirTag sinyallerini taklit eden ve bu anahtarı içeren bir Bluetooth mesajı iletmeye başlar.
4. Yakındaki internete bağlı herhangi bir Apple aygıtı Bluetooth mesajını alır ve Bul sunucularına iletir.
5. Saldırganların sunucusu, Bul‘dan virüslü cihazın konumunu istemek ve verilerin şifresini çözmek için özel anahtarı kullanır.

İzleme ne kadar iyi çalışıyor?

Yakınlarda ne kadar çok Apple cihazı varsa ve kurbanın hareketi ne kadar yavaşsa, konum izlemenin doğruluğu ve hızı o kadar iyi olur. Evler veya ofisler gibi tipik şehir ortamlarında, konum genellikle altı ila yedi dakika içinde ve yaklaşık üç metrelik bir doğrulukla tespit edilir. Uçakta olmak gibi ekstrem durumlarda bile, internet erişimi artık uçuşlarda yaygın olarak bulunduğundan, izleme yine de gerçekleşebilir. Araştırmacılar, 90 dakikalık uçuş boyunca 17 coğrafi konum noktası elde ederek uçağın uçuş rotasını oldukça doğru bir şekilde yeniden oluşturdular.

Doğal olarak, saldırının başarısı kurbana kötü amaçlı yazılım bulaştırılıp bulaştırılamayacağına bağlıdır ve ayrıntılar platforma bağlı olarak biraz farklıdır. Linux cihazlarda saldırı, özel Bluetooth uygulaması nedeniyle yalnızca kurbanın aygıtına bulaşmayı gerektirir. Buna karşılık, Android ve Windows Bluetooth adres rastgeleleştirmesi kullanır, yani saldırganın yakındaki iki Bluetooth cihazına bulaşması gerekir; biri izleme hedefi olarak (AirTag’i taklit eden) ve diğeri adaptör adresini elde etmek için.

Kötü niyetli uygulamanın Bluetooth erişimine ihtiyacı vardır, ancak bunu elde etmek zor değildir. Medya oynatıcılar, dosya paylaşım araçları ve hatta ödeme uygulamaları gibi birçok yaygın uygulama kategorisinin bunu talep etmek için genellikle meşru nedenleri vardır. Bu tür bir saldırı için ikna edici ve işlevsel bir yem uygulaması yaratılması, hatta var olan bir uygulamanın Truva atına dönüştürülmesi muhtemeldir. Saldırı yönetici izinleri ya da kök erişimi gerektirmez.

Daha da önemlisi, sadece telefonlar ve bilgisayarlardan bahsetmiyoruz: Android ve Linux birçoğunun ortak işletim sistemleri olduğundan, saldırı akıllı TV’ler, sanal gerçeklik gözlükleri ve diğer ev aletleri de dahil olmak üzere bir dizi cihazda etkilidir.

Saldırının bir diğer önemli kısmı da sunucudaki kriptografik anahtarların hesaplanmasını içermesi. Modern ekran kartlarına sahip donanımların kiralanmasını gerektiren bu işlemin karmaşıklığı nedeniyle, tek bir kurban için anahtar üretmenin maliyetinin yaklaşık 2,2 dolar olduğu tahmin edilmektedir. Bu nedenle, örneğin bir alışveriş merkezindeki ziyaretçileri hedef alan kitlesel izleme senaryolarını olası bulmuyoruz. Bununla birlikte, bu fiyat noktasındaki hedefli saldırılar, dolandırıcılar veya meraklı iş arkadaşları ve eşler de dahil olmak üzere hemen hemen herkes tarafından erişilebilir.

Apple’ın yanıtı

Şirket, Aralık 2024’te iOS 18.2, visionOS 2.2, iPadOS 17.7.3 (eski cihazlar için) ve 18.2 (yeni cihazlar için), watchOS 11.2, tvOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2 ve macOS Sequoia 15.2’de Bul ağı güvenlik açığı için yama yayınladı. Ne yazık ki, Apple’da sıklıkla olduğu gibi, güncellemelerin ayrıntıları açıklanmadı. Araştırmacılar, tüm Apple kullanıcıları en azından yukarıdaki sürümlere güncelleme yapana kadar bu izleme yönteminin teknik olarak mümkün olmaya devam edeceğini, ancak izlenen bir cihazın konumunu daha az sayıda cihazın bildirebileceğini vurguluyor. Apple yamasının başka bir mühendislik hilesi ile aşılması da imkansız değil.

Kendinizi saldırıdan nasıl korursunuz?

• Cihazınızda bu seçenek varsa, kullanmadığınız zamanlarda Bluetooth’u kapatın.
• Uygulamaları yüklerken yalnızca güvenilir kaynaklara bağlı kalın. Uygulamanın uzun süredir piyasada olduğunu, çok sayıda indirme aldığını ve en son sürümünde yüksek bir derecelendirmeye sahip olduğunu doğrulayın.
• Bluetooth ve konum erişimini yalnızca bu özelliklere ihtiyacınız olduğundan emin olduğunuz uygulamalarda açın.
• Cihazınızı düzenli olarak güncelleyin; hem işletim sistemini hem de ana uygulamaları.
• Tüm cihazlarınızda kapsamlı kötü amaçlı yazılım korumasının etkin olduğundan emin olun. Biz Kaspersky Premium öneriyoruz.

Bu oldukça alışılmadık ve henüz görülmemiş izleme yönteminin yanı sıra, konumunuzun ve faaliyetlerinizin izlenebileceği çok sayıda başka yol da vardır. Sizi gözetlemek için hangi yöntemler kullanılıyor? Ayrıntılar için aşağıdaki yazılarımıza göz atabilirsiniz:

• Akıllı telefonlar hakkınızda nasıl dosya oluşturur?
• Web kamerasıyla gizlice izleme: Gerçek mi kurgu mu?
• Bluetooth ve benzeri araçlarla takip edilmekten kendinizi nasıl korursunuz?
• Milyonlarca Kia otomobil nasıl takip edilebilir?
• Verileriniz için koşun: Koşu uygulamalarında gizlilik ayarları
• Geçen yaz nasıl araba kullandığını biliyorum
• … ve diğer yazılar.