OpenHaystack là gì? Cách sử dụng thế nào?

Apple đã hứa sẽ mở ứng dụng Find My của mình cho các nhà sản xuất phụ kiện bên thứ ba. Trước mắt, bạn sẽ có một công cụ mới sẽ cho phép bất kỳ ai tạo thẻ theo dõi Bluetooth của riêng họ để sử dụng với mạng Find My để họ có thể theo dõi vị trí của nó, đó là OpenHaystack.

OpenHaystack là một công cụ mã nguồn mở mới được phát triển bởi các nhà nghiên cứu bảo mật tại Phòng thí nghiệm Secure Mobile Networking, về cơ bản họ đã thiết kế ngược lại cách các thiết bị Apple tự đăng ký vào mạng lưới Find My.

OpenHaystack hoạt động thông qua một ứng dụng Mac để theo dõi vị trí của các thẻ tùy chỉnh mà bạn tạo. Hiện tại, công cụ này có hỗ trợ trực tiếp để tạo thẻ theo dõi bằng BBC micro (một máy vi tính có thể lập trình được), ngoài ra cũng hỗ trợ thiết bị Bluetooth Low Energy (BLE) khác có thể được các nhà phát triển khác bổ sung trong tương lai. Sau khi được đăng ký trên mạng Find My của Apple, ứng dụng OpenHaystack sẽ có thể báo cáo vị trí của thẻ giống như ứng dụng Find My của Apple hoạt động cho iPhone và các thiết bị Apple khác.

Toàn bộ hệ thống hơi phức tạp. Nó sử dụng một plugin dành cho Apple Mail (xác thực bạn là người dùng Apple chính hãng) để có được quyền truy cập cần thiết vào mạng Find My của Apple để tạo và xác định vị trí các khóa – vì vậy Mail cần phải chạy để OpenHaystack hoạt động.

Dường như không có tác động bảo mật nghiêm trọng nào đối với chính mạng Find My (mặc dù nhóm đã gửi các báo cáo lỗi khác cho Apple). Tuy nhiên, điều đó không có nghĩa là bạn nên tiếp tục và bắt đầu sử dụng OpenHaystack. Có một tuyên bố từ chối trách nhiệm quan trọng về dự án:

OpenHaystack là phần mềm thử nghiệm. Mã chưa được kiểm tra và chưa hoàn chỉnh. Ví dụ: thẻ OpenHaystack sử dụng chương trình cơ sở của chúng tôi phát một khóa công khai cố định và do đó, các thiết bị khác ở gần có thể theo dõi được (điều này có thể thay đổi trong bản phát hành trong tương lai). OpenHaystack không được liên kết hoặc xác nhận bởi Apple Inc.

Bất kỳ người dùng Apple nào cũng có thể truy cập khóa công khai cho các thiết bị trong mạng Find My, nhưng bạn cần khóa cá nhân để thực sự truy cập thông tin vị trí. Điều này có nghĩa là ngay cả Apple cũng không thể truy cập thông tin vị trí của bạn mà không có khóa riêng của bạn. Mạng có thể thực hiện được vì các thiết bị của Apple theo dõi chung các khóa công khai, nhưng chỉ người dùng mới có thể lấy dữ liệu vị trí từ các khóa riêng tư.

Những gì OpenHaystack làm là tạo một trong những cặp khóa công khai / riêng tư đó cho thẻ Bluetooth của riêng bạn và sử dụng Apple Mail để đăng ký nó trong mạng Find My. Đối với Apple nhìn nhận thiết bị, nó giống như một chiếc iPhone khác. Sau đó, ứng dụng Mac truy cập cơ sở dữ liệu khóa công khai, ghép nối nó với khóa riêng tư bạn đã tạo và bam: dữ liệu vị trí an toàn.

Từ cách thiết kế của nó, có vẻ như Apple khó có thể dễ dàng loại bỏ OpenHaystack mà không cắt bỏ một loạt các thiết bị cũ của Apple. Tuy nhiên, cũng chắc chắn rằng Apple với tư cách là một công ty sẽ không thích điều này và có thể cố gắng tìm cách để chặn nó. Nhà phát triển có thể sử dụng hệ thống này để tạo cách thêm thiết bị Android vào mạng Find My.

Nhóm nghiên cứu đằng sau OpenHaystack đã viết một bài báo mô tả chi tiết các phương pháp của nó và tiết lộ một lỗ hổng bảo mật hiện đã được khắc phục. Nó cũng phát hành mã nguồn cho phần kernel của nó. Các nhà phát triển khác có thể sử dụng để điều chỉnh OpenHaystack cho các thiết bị BLE khác.

Hỗ trợ chính thức của Apple cho các phụ kiện của bên thứ ba vẫn đang tiếp tục. Belkin đã công bố một bộ tai nghe sẽ hỗ trợ Find My. Với mức độ phức tạp của thiết lập OpenHaystack, nó có thể sẽ không được thực hiện đại trà. Nó tương tự về mặt nào đó với AirMessage và Beeper, hai công cụ sử dụng các tiện ích của Mac để chuyển hướng iMessages đến các thiết bị Android.