Apple ha prometido abrir su aplicación Find My a terceros fabricantes de accesorios . Pero antes de eso, hay una nueva herramienta que permitirá a cualquiera crear su propia etiqueta de seguimiento Bluetooth para usar con la red Find My y poder rastrear su ubicación. OpenHaystack es una nueva herramienta de código abierto desarrollada por investigadores de seguridad en el Laboratorio de redes móviles seguras , que esencialmente han realizado ingeniería inversa de la forma en que los dispositivos Apple se registran en la red de malla Find My.
En resumen, es una forma de crear sus propias AirTags de bricolaje hoy.
OpenHaystack funciona a través de una aplicación Mac personalizada que se puede utilizar para rastrear la ubicación de las etiquetas personalizadas que crea. A partir de este momento, la herramienta tiene soporte directo para hacer una etiqueta de seguimiento usando la mini computadora BBC micro: bit , aunque otros desarrolladores podrían agregar otro soporte de dispositivo Bluetooth Low Energy (BLE) en el futuro. Una vez registrado en la red Find My de Apple, la aplicación OpenHaystack podrá informar la ubicación de la etiqueta al igual que la aplicación Find My de Apple funciona para iPhones y otros dispositivos Apple.
Todo el sistema es un poco pirateado, en el sentido de que es complejo, no en el sentido de que en realidad esté pirateando algo. Utiliza un complemento para Apple Mail (que lo autentica como un usuario genuino de Apple) para obtener el acceso necesario a la red Find My de Apple para crear y ubicar las claves, por lo que Mail debe estar ejecutándose para que OpenHaystack funcione.
Tampoco parece haber serias implicaciones de seguridad para la red Find My (aunque el equipo ha enviado otros informes de errores a Apple ). Sin embargo, eso no significa que deba seguir adelante y comenzar a usar OpenHaystack. Hay un descargo de responsabilidad importante sobre el proyecto:
OpenHaystack es un software experimental. El código no está probado y está incompleto. Por ejemplo, las etiquetas OpenHaystack que utilizan nuestro firmware transmiten una clave pública fija y, por lo tanto, son rastreables por otros dispositivos cercanos (esto podría cambiar en una versión futura). OpenHaystack no está afiliado ni respaldado por Apple Inc.
Una comprensión de alto nivel de cómo funciona el modelo de seguridad de Find My también ayuda a comprender por qué OpenHaystack es posible.
Encuentra mis trabajos usando una combinación de claves públicas y privadas. Cualquier usuario de Apple puede acceder a las claves públicas de los dispositivos en la red Find My, pero necesita la clave privada para poder acceder a la información de ubicación. Esto significa que ni siquiera Apple puede acceder a la información de su ubicación sin sus claves privadas. La red es posible porque los dispositivos de Apple rastrean de manera comunitaria las claves públicas, pero solo los usuarios pueden obtener datos de ubicación de las claves privadas.
Lo que hace OpenHaystack es crear uno de esos pares de claves públicas / privadas para su propia etiqueta Bluetooth y usa Apple Mail para registrarlo en la red Find My. Para Apple, simplemente parece otro iPhone. Luego, la aplicación para Mac accede a la base de datos de claves públicas, la empareja con la clave privada que creó y bam: datos de ubicación segura.
Por la forma en que está diseñado, parece que podría ser difícil para Apple cortar OpenHaystack fácilmente sin cortar también un montón de dispositivos Apple más antiguos. Sin embargo, también es cierto que a Apple, como empresa, no le gustará todo y puede que intente encontrar una forma de bloquearlo. Un desarrollador podría usar el sistema para crear una forma de agregar dispositivos Android a la red Find My.
El equipo detrás de OpenHaystack ha escrito un documento detallando sus métodos y revelando una falla de seguridad ahora corregida. También lanzó el código fuente de su firmware , que otros desarrolladores podrían usar para adaptar OpenHaystack a otros dispositivos BLE.
El soporte oficial de Apple para accesorios de terceros aún está disponible. Belkin ya ha anunciado un conjunto de auriculares compatibles con Find My. Dado lo compleja que es la configuración de OpenHaystack, probablemente no obtendrá una adopción masiva. Es similar en algunos aspectos a AirMessage y Beeper, dos herramientas que utilizan utilidades de Mac para redirigir iMessages a dispositivos Android. El ecosistema de Apple está bloqueado de muchas maneras, pero la Mac encuentra la manera.