-
OpenHaystack
- OpenHaystack, Apple'ın Find My ağı üzerinden kişisel Bluetooth cihazlarını takip edebilen bir framework'tür
- Mac ve BBC micro:bit veya Bluetooth destekli başka bir cihaz kullanarak kendi takip etiketinizi oluşturabilirsiniz
- Hücresel kapsama olmadan da dünyanın herhangi bir yerinde aksesuarlarınızı takip edebilirsiniz
- Yakındaki bir iPhone aksesuarı algılar ve ağ bağlantısı olduğunda konumunu Apple sunucularına yükler
-
OpenHaystack'in geçmişi
- OpenHaystack, Apple'ın Find My ağının tersine mühendislik ve güvenlik analizi sonucunda ortaya çıkmış bir çalışmadır
- TU Darmstadt'taki Secure Mobile Networking Lab, Haziran 2019'daki duyurudan sonra offline finding sistemini analiz etmeye başladı
- Bu sistem, Bluetooth reklamlarını, açık anahtar kriptografisini ve şifrelenmiş konum raporlarının merkezi veritabanını birleştirir
- İki güvenlik açığı bulundu; en ciddisi, kötü amaçlı uygulamaların konum verilerine erişebilmesi sorunuydu (CVE-2020-9986)
-
Kullanım şekli
- OpenHaystack, bir macOS uygulaması ve Bluetooth cihazlarını beacon'a dönüştüren firmware imajından oluşur
- macOS 11 (Big Sur) gereklidir
- Apple sunucularından konum raporlarını indirmek için Apple Mail'in özel bir eklentisi kullanılır
- Yeni aksesuarlar ekleyebilir, bunları cihaza dağıtabilir ve cihazın konumunu görüntüleyebilirsiniz
-
Apple'ın Find My ağı nasıl çalışır
- Bir açık-gizli anahtar çifti üretilir ve aksesuar üzerine dağıtılır
- Aksesuar, açık anahtarı Bluetooth Low Energy reklamlarıyla yayınlar
- Yakındaki bir iPhone bu yayını aldığında mevcut konumu şifreleyip Apple sunucularına yükler
- Apple, şifrelenmiş konumun hangi hesaba veya cihaza ait olduğunu bilemez
-
Diğer Bluetooth cihazlarını takip etme
- Prensipte her Bluetooth cihazı bir OpenHaystack aksesuarına dönüştürülebilir
- Az sayıda gömülü cihaz için pratik dağıtım yöntemleri sunulur
- Linux cihazları genel HCI script'i üzerinden desteklenir
-
OpenHaystack Mobile
- Akıllı telefonlar için OpenHaystack macOS uygulamasının tam yeniden implementasyonu
- Aksesuar oluşturma ve takip özellikleri sunar
- Konum raporları doğrudan akıllı telefondan alınamaz; Mac donanımında barındırılan bir proxy sunucu gerekir
- Android ve iOS üzerinde çalışabilir
-
Yazarlar
- Alexander Heinrich, Milan Stute, Tim Kornhuber, Matthias Hollick
-
Kaynakça
- Apple'ın Crowd-Sourced Bluetooth Location Tracking System sistemi üzerine güvenlik ve gizlilik araştırma makalesi
-
Lisans
- OpenHaystack, GNU Affero General Public License v3.0 altında lisanslanmıştır
1 yorum
Hacker News görüşleri
Apple kullanıcısı olmayanlar için iyi seçenekler az. Google'ın sürümü beklendiği kadar iyi değil. Etiket aramada kısıtlamalar var ve konum ancak birden fazla cihaz algıladığında gösteriliyor. Samsung'un ağının daha iyi olduğuna dair test sonuçları vardı.
Apple, kullanıcıları takip edebilen etiketler konusunda uyarıyor. MAC adresini ya da özel anahtarı KDF kullanarak döndüren bir uygulama vardı, ancak tahmin edilebilirdi.
Koda bakınca, Find My ağında toplanan konumları almak için Apple Mail iznini kullanıyor gibi görünüyor.
Find My uygulamasıyla entegre olmanın bir yolu olsa iyi olurdu. Çinli klon ürünler bunu yapabiliyor, yani bir şekilde mümkün olmalı gibi görünüyor.
Apple AirTags harika ama hacimli ve şekli garip.
Araştırma yapmadım ama küçük rastgele veri yükleriyle bunun kullanılabilir olup olmadığını merak ediyorum.
Kendin yapmanın daha ucuz olup olmadığını merak ediyorum. AirTag'i yaklaşık $15'a aldım. Kendin yapmak daha mı ucuza gelir?
Başka Apple cihazları olmadan gerçek bir AirTag kurulabilir mi diye merak ediyorum.
Bunun gerçek Apple Find My uygulamasıyla eşleştirilip uygulama içinden bulunup bulunamayacağını merak ediyorum.