9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o mais poderoso e moderno Apple MDM no mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.
Esta semana, quero compartilhar uma palestra fascinante que encontrei nas redes sociais sobre um serviço da Apple que parece não receber tanta atenção da comunidade: o CarPlay. Embora a Apple não tenha divulgado publicamente o número exato de usuários do CarPlay, atrevo-me a dizer que é um dos serviços mais utilizados. E uma das maiores preocupações é qualquer coisa que possa comprometer a segurança ou a privacidade do condutor. Então, quão seguro é o CarPlay?
Na conferência TROOPERS24 IT em Heidelberg, Alemanha, a pesquisadora de segurança Hannah Nöttgen apresentou uma palestra intitulada “Apple CarPlay: o que há por trás do capô.” Nesta sessão, Nöttgen mergulhou na arquitetura básica de segurança do CarPlay para avaliar o quão seguro o serviço realmente é. Ela explicou que o CarPlay depende de dois protocolos principais: o IAPv2 (Protocolo de Acessórios do iPod versão 2) proprietário da Apple para autenticação e o AirPlay para streaming de mídia. Juntos, eles permitem a experiência perfeita que todos amamos, permitindo que os motoristas acessem mensagens, chamadas, músicas, peçam Chick-fil-A e outros recursos sem precisar desbloquear seus telefones.
Mas essa conveniência traz alguns riscos.
Durante a sua análise, Nöttgen explorou vários vetores de ataque, concentrando-se nos riscos de acesso não autorizado a informações pessoais, que poderiam ameaçar a privacidade e a segurança do condutor. Embora o sistema de autenticação do CarPlay seja bastante reforçado para evitar ataques de repetição, Nöttgen encontrou outros vetores, como ataques DoS direcionados a qualquer rede sem fio. adaptadores AirPlay de terceiros permaneceu possível, embora difícil de executar, mas possível.
Outra camada interessante é o controle rígido da Apple sobre o hardware CarPlay por meio do programa Made for iPhone (MFi). Todos os dispositivos CarPlay certificados devem incluir um chip de autenticação da Apple, que os fabricantes de automóveis pagam para integrar em seus veículos. Embora o ecossistema fechado da Apple tenha enfrentado críticas por limitar o acesso de terceiros, ele também cria um obstáculo significativo para possíveis invasores. Para lançar um ataque sofisticado, como a extração da chave privada, um ator precisaria de acesso físico ao chip MFi.
Nöttgen concluiu sua palestra apontando áreas que precisam ser mais exploradas, como métodos potenciais para extrair chaves privadas e conduzir testes mais abrangentes dos protocolos do CarPlay. Sua preocupação é que, se os invasores conseguissem obter essas chaves, eles poderiam interceptar e descriptografar informações confidenciais.
Infelizmente, a natureza proprietária do IAPv2 e da implementação do AirPlay pela Apple torna a verificação de segurança independente bastante desafiadora. Eu recomendo fortemente que os leitores leiam bastante a palestra de Hannah Nöttgen abaixo, é bastante interessante e divertida!
Você pode baixar o apresentação completa aqui.
Sobre Mordida de segurança: Security Bite é uma coluna semanal focada em segurança no 9to5Mac. Toda semana, Arin Waichulis fornece insights sobre privacidade de dados, revela vulnerabilidades ou esclarece ameaças emergentes no vasto ecossistema da Apple com mais de 2 bilhões de dispositivos ativosé para ajudá-lo a ainda estar seguro.
Folhe Arin: Twitter/X, LinkedIn, Tópicos
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
