Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированной защиты и соответствия требованиям, EDR следующего поколения, нулевого доверия на базе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. на рынке. Результатом стала полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет подготовить к работе миллионы устройств Apple без каких-либо усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.
На этой неделе я хочу поделиться увлекательным разговором, который я нашел в социальных сетях, о сервисе Apple, который, похоже, не привлекает такого большого внимания в сообществе: CarPlay. Хотя Apple публично не раскрыла точное количество пользователей CarPlay, я бы рискнул сказать, что это одна из наиболее часто используемых ее услуг. И одной из самых больших проблем является все, что может поставить под угрозу безопасность или конфиденциальность водителя. Итак, насколько безопасен CarPlay?
На ИТ-конференции TROOPERS24 в Гейдельберге, Германия, исследователь безопасности Ханна Нёттген представила доклад с остроумным названием «Apple CarPlay: что под капотом». На этом сеансе Нёттген углубился в базовую архитектуру безопасности CarPlay, чтобы оценить, насколько на самом деле безопасен сервис. Она объяснила, что CarPlay использует два основных протокола: собственный IAPv2 Apple (протокол аксессуаров для iPod версии 2) для аутентификации и AirPlay для потоковой передачи мультимедиа. Вместе они обеспечивают удобство работы, которое мы все полюбили, позволяя водителям получать доступ к сообщениям, звонкам, музыке, заказу Chick-fil-A и другим функциям без необходимости разблокировать свои телефоны.
Но это удобство сопряжено с некоторыми рисками.
В ходе своего анализа Нёттген исследовала несколько векторов атак, сосредоточив внимание на рисках несанкционированного доступа к личной информации, которые могут поставить под угрозу конфиденциальность и безопасность водителей. Хотя система аутентификации CarPlay достаточно усилена для предотвращения атак повторного воспроизведения, Нёттген обнаружил, что другие векторы, такие как DoS-атаки, нацеленные на любые беспроводные адаптеры AirPlay сторонних производителей, остаются возможными, хотя и трудными для реализации, но возможными.
Еще одним интересным моментом является жесткий контроль Apple над оборудованием CarPlay с помощью программы Made for iPhone (MFi). Все сертифицированные устройства CarPlay должны иметь чип аутентификации Apple, за интеграцию которого в свои автомобили производители автомобилей платят. Хотя закрытая экосистема Apple подвергается критике за ограничение доступа третьих лиц, она также создает серьезные препятствия для потенциальных злоумышленников. Чтобы запустить сложную атаку, такую как извлечение закрытого ключа, злоумышленнику потребуется физический доступ к чипу MFi.
Нёттген завершила свое выступление, указав на области, требующие дальнейшего изучения, такие как потенциальные методы извлечения закрытых ключей и проведение более всестороннего тестирования протоколов CarPlay. Ее беспокоит то, что, если злоумышленники смогут получить эти ключи, они смогут перехватить и расшифровать конфиденциальную информацию.
К сожалению, запатентованный характер как IAPv2, так и реализации Apple AirPlay делает независимую проверку безопасности довольно сложной задачей. Я настоятельно рекомендую читателям внимательно прочитать выступление Ханны Нёттген, представленное ниже, оно довольно интересное и веселое!
Полную презентацию можно скачать здесь.
О : Security Bite — это еженедельная колонка, посвященная безопасности, на . Каждую неделю, Арин Вайчулис предоставляет информацию о конфиденциальности данных, выявляет уязвимости или проливает свет на возникающие угрозы в обширной экосистеме Apple, насчитывающей более 2 миллиардов активных устройств.с чтобы помочь вам все еще в безопасности.
ФСледуй за Арин: Твиттер/ХLinkedIn, Темы
