nRootTag - ルート権限なしでBluetoothデバイスをApple AirTagに変換する

• nRootTagは、リモート攻撃者がユーザーのBluetoothデバイスをApple AirTagのように変換し、位置を追跡できるようにする新たな攻撃手法
• ルート権限がなくても実行可能で、デスクトップ、スマートフォン、スマートウォッチなど多様な機器を標的にできる
• 世界中で15億台以上のiPhoneが、攻撃者の無料追跡デバイスとして機能することになる

研究概要

• Appleの「探す」ネットワークは、10億台を超えるAppleデバイスを活用する世界最大のデバイス追跡ネットワーク
• 研究チームは、このネットワークを悪用してBluetoothデバイスを追跡する方法を分析した
• nRootTagは、ルート権限なしでコンピュータを追跡可能な「AirTag」に変換する攻撃手法
• 攻撃成功率は90%以上で、コストは数ドルにすぎない
• レインボーテーブルを使えば即座に鍵検索が可能となり、追跡速度を高められる
• Linux、Windows、Androidなど多様なOSで動作し、IoTデバイスも追跡可能

Apple「探す（Find My）」ネットワークの仕組み

• AirTagは所有者のデバイスと公開鍵/秘密鍵の情報を共有する
• AirTagが所有者から離れると、BLE広告を通じて公開鍵をブロードキャストする
• 近くのAppleデバイスはこの情報を収集し、暗号化された位置レポートを生成したうえでApple Cloudに送信する
• 正しい秘密鍵があれば、Apple Cloudで位置データを復号できる
• 近くのAppleデバイスは、送信されたBLE信号がAppleデバイス由来かどうかを検証しない

nRootTagの仕組み

• トロイの木馬コードが実行されると、デバイスの広告アドレスを収集し、サーバーから対応する公開鍵を取得する
• 攻撃対象デバイスは、BLE広告を通じて「探す」ネットワークに偽装信号を送信する
• サーバーはレインボーテーブルを活用して鍵を検索し、Apple Cloudから位置データを復号する
• この過程を通じて、攻撃者はユーザーの位置を追跡できる

GPUベンチマーク

• 研究チームはRTX 3070、RTX 3080、RTX 4090、A100、H100などのGPUをテストした
• H100が最速の鍵生成速度を示したが、コストが高く、RTX 3080が最も経済的な選択肢と評価された

セキュリティパッチと対応

• 研究チームはAppleと協力してセキュリティ脆弱性を報告した
• AppleはiOS 18.2、macOS Ventura 13.7.2、Sonoma 14.7.2など複数のOSでセキュリティパッチを公開した
• ただし、未修正のiPhoneやApple Watchが近くにある場合、この攻撃は依然として有効

研究支援と謝辞

• 本研究は、米国国立科学財団NSFおよびCommonwealth Cyber InitiativeCCIの支援を受けた
• Appleセキュリティチームは脆弱性報告に迅速に対応し、研究チームはこれに感謝を表した