Falha no aplicativo Buscar da Apple permite rastrear qualquer dispositivo bluetooth

O aplicativo Buscar (Find My) da Apple permite localizar dispositivos da marca e acessórios compatíveis, como o AirTag, utilizando sinais bluetooth que são retransmitidos anonimamente por aparelhos Apple próximos. No entanto, pesquisadores descobriram uma vulnerabilidade que possibilita transformar qualquer dispositivo bluetooth, como smartphones e notebooks, em um AirTag sem o conhecimento do proprietário.

Normalmente, os AirTags alteram periodicamente seus endereços bluetooth utilizando chaves criptográficas para impedir rastreamento contínuo. Porém, os pesquisadores conseguiram reverter esse mecanismo ao empregar “centenas” de GPUs para calcular rapidamente as chaves associadas aos endereços bluetooth dos dispositivos monitorados. O ataque, denominado “nRootTag”, apresenta uma taxa de sucesso de 90% e não requer privilégios avançados no sistema operacional da vítima.

Durante os testes, a equipe conseguiu localizar um computador com uma margem de erro de apenas 3 metros e rastrear uma bicicleta em movimento pela cidade. Em outro experimento, os pesquisadores reconstruíram a rota de um voo ao monitorar um console de videogame.

Essa vulnerabilidade permite que hackers determinem a localização exata de dispositivos específicos, como fechaduras inteligentes, potencialmente facilitando invasões físicas. A Apple reconhece a falha, mas ainda não divulgou detalhes sobre quando ou como pretende corrigi-la. Para reduzir os riscos, recomenda-se limitar o acesso de aplicativos ao bluetooth e manter os dispositivos sempre atualizados.