[[399594]]

 Positive Security 聯合創始人 Fabian Br?unlein 指出： 蘋果用于追蹤 iOS / macOS 設備、以及新近推出的 AirTag 智能追蹤器的 Find My 尋物網絡，存在著信息泄露的安全隱患。 他表示，在無需任何其它網絡連接的情況下，蘋果設備仍可借助無線傳輸功能，將數據從一個地方發送到另一個地方，比如位于地球另一端的一臺計算機上。

[[399595]]

具體說來是，Positive Security 已經提出了一種概念驗證方法，可通過低功耗藍牙(BLE)廣播、以及為調制解調器設計的微控制器，來實現從無連接的 蘋果 設備、向蘋果的 iCloud 服務器發送有限數量的任意數據。

由博客文章上披露的細節可知，Fabian Br?unlein 成功地通過 Mac 應用程序，從云端下載到了驗證數據。背后的原理是，只要你的蘋果設備上激活了 Find My 尋物網絡，它就會成為眾包位置追蹤系統的一員。

至于數據泄露的途徑，首先是通過 BLE 將數據傳輸到附近的其它蘋果設備，接著經由網絡中繼抵達蘋果服務器。然后被授權的設備所有者能夠使用基于 iCloud 的 Find My 客戶端(iOS / macOS)來獲取有關已注冊硬件的位置報告。

來自達姆施塔特技術大學的 Alexander Heinrich、Milan Stute、Tim Kornhuber、以及 Matthias Hollick，在一篇研究文章中詳細介紹了對 Find My 尋物網絡安全性和隱私性的分析。

在此前開展的 OpenHaystack 項目(用于創建自己的尋物網絡工具)工作的基礎上，他們得以進一步開展名為“Send Me”的后續研究。新研究的目標，旨在驗證 Find My 網絡能夠從無法聯網的設備向互聯網發送任意數據。

正如他們所預料的那樣：“在不受控制的環境中，小型傳感器可借助此類技術，來避免移動互聯網的成本與功耗。只需通過 iPhone 用戶的‘偶爾訪問’，嚴密得像是法拉第籠的地方，也可能發生一些意想不到的數據泄露”。

最后，由于未能找到明確的 Find My 尋物網絡的報告發送限制(每個報告超過 100 字節)，這項功能或許也會被濫用至耗盡智能機用戶的套餐流量。