L’accessorio trova tutto AirTag è clonabilissimo, e a quel punto addio sicurezza e privacy: lo ha dimostrato un gruppo di ricercatori di sicurezza creando una copia del tracker di Apple che mette in luce una serie di problematiche nel sistema di tracciamento. Il progetto è stato realizzato mettendo insieme un microcontrollore ESP32 con supporto Bluetooth, una powerbank e un cavetto, il tutto configurato attraverso il sistema OpenHaystack, un framework che permette di tracciare i dispositivi Bluetooth utilizzando la rete Dov’è di Apple.
Questa sorta di clone di AirTag usa il framework per far «ruotare costantemente le chiavi pubbliche, inviandone una periodicamente e ripetendo l’elenco all’incirca ogni 17 ore». In questo modo appare sempre come un nuovo dispositivo e di conseguenza l’utente spiato non si accorge di nulla perché i suoi dispositivi, non rilevando nessun AirTag nelle vicinanze per troppo tempo, non emettono alcuna notifica. Nel test – scrivono – si è andati avanti indisturbati per più di cinque giorni senza intoppi.
Peraltro il clone di AirTag non è dotato di cicalini e altoparlanti, quindi non emette alcun suono e la sua posizione (eventualmente nascosta) non verrà mai notificata. Di questo potenziale rischio di AirTag si era in realtà già parlato nei mesi scorsi, quando alcuni utenti avevano dimostrato quanto fosse facile smontare il tracker e disabilitare lo speaker e qualcuno lo ha persino messo in vendita su Ebay. Per altro non essendoci il controller UWB non è neanche possibile trovarlo usando il sistema di rintracciamento di precisione di Apple.
L’esperimento così dimostra che AirTag, allo stato attuale, è lungi dall’essere un sistema infrangibile e sicuro. Va chiaramente perfezionato, come dimostrano i recenti aggiustamenti di Apple proprio in ottica di stalking, e secondo i ricercatori mettere in luce questi limiti, sperando «di non incoraggiare l’uso improprio» di AirTag, potrebbero aiutare Apple ad migliorare la piattaforma e metterla in sicurezza.
Secondo Fabian Braunlein di Positive Security, il problema principale non sono tanto gli AirTag quanto il fatto di averli inseriti nell’ecosistema Dov’è di Apple che utilizza i dispositivi dei clienti per fornire il servizio. «Devono tenere conto delle minacce di beacon personalizzati e potenzialmente dannosi che implementano il protocollo Dov’è, o di AirTag con hardware modificato», anche per il solo fatto «di poter usare un powerbank e un ESP32 più economici di un AirTag, che incentivano la costruzione di cloni».
Secondo un test indipendente AirTag è comunque il tacker più sicuro rispetto ai concorrenti. La recensione di macitynet di AirTag è disponibile in questa pagina.
