-
OpenHaystack
- OpenHaystack adalah framework untuk melacak perangkat Bluetooth pribadi melalui jaringan Find My milik Apple
- Dengan menggunakan Mac dan BBC micro:bit atau perangkat lain yang mendukung Bluetooth, Anda dapat membuat tag pelacak sendiri
- Aksesori dapat dilacak di mana saja di dunia bahkan tanpa cakupan seluler
- iPhone di sekitar akan menemukan aksesori dan mengunggah lokasinya ke server Apple saat memiliki koneksi jaringan
-
Sejarah OpenHaystack
- OpenHaystack merupakan hasil rekayasa balik dan analisis keamanan terhadap jaringan Find My milik Apple
- Setelah dipresentasikan pada Juni 2019 oleh Secure Mobile Networking Lab di TU Darmstadt, tim mulai menganalisis fitur pencarian offline
- Sistem ini menggabungkan iklan Bluetooth, kriptografi kunci publik, dan basis data terpusat untuk laporan lokasi terenkripsi
- Dua kerentanan ditemukan, dan yang paling serius adalah masalah yang memungkinkan aplikasi berbahaya mengakses data lokasi (CVE-2020-9986)
-
Cara penggunaan
- OpenHaystack terdiri dari aplikasi macOS dan image firmware yang mengubah perangkat Bluetooth menjadi beacon
- Memerlukan macOS 11 (Big Sur)
- Menggunakan plugin kustom untuk Apple Mail guna mengunduh laporan lokasi dari server Apple
- Dapat menambahkan aksesori baru, melakukan deployment ke perangkat, dan menampilkan lokasi perangkat
-
Cara kerja jaringan Find My milik Apple
- Menghasilkan pasangan kunci publik-pribadi lalu mendistribusikannya ke aksesori
- Aksesori menyiarkan kunci publik melalui iklan Bluetooth Low Energy
- Saat iPhone di sekitar menerima iklan tersebut, perangkat akan mengenkripsi lokasi saat ini lalu mengunggahnya ke server Apple
- Apple tidak mengetahui lokasi terenkripsi itu milik akun atau perangkat yang mana
-
Melacak perangkat Bluetooth lain
- Secara prinsip, hampir semua perangkat Bluetooth dapat diubah menjadi aksesori OpenHaystack
- Menyediakan metode deployment yang praktis untuk sejumlah kecil perangkat embedded
- Perangkat Linux didukung melalui skrip HCI umum
-
OpenHaystack Mobile
- Reimplementasi penuh aplikasi macOS OpenHaystack untuk smartphone
- Menyediakan fungsi pembuatan dan pelacakan aksesori
- Laporan lokasi tidak dapat diambil langsung dari smartphone dan memerlukan server proxy yang di-host pada perangkat keras Mac
- Dapat berjalan di Android dan iOS
-
Penulis
- Alexander Heinrich, Milan Stute, Tim Kornhuber, Matthias Hollick
-
Referensi
- Makalah penelitian tentang keamanan dan privasi sistem pelacakan lokasi Bluetooth berbasis crowdsourcing milik Apple
-
Lisensi
- OpenHaystack dilisensikan di bawah GNU Affero General Public License v3.0
1 komentar
Pendapat Hacker News
Pilihan yang bagus untuk orang yang bukan pengguna Apple masih kurang. Versi Google tidak sebagus yang diharapkan. Ada batasan dalam pencarian tag, dan lokasi hanya ditampilkan jika terdeteksi oleh beberapa perangkat. Ada hasil pengujian yang menunjukkan jaringan Samsung lebih baik.
Apple memberi peringatan tentang tag yang bisa digunakan untuk melacak pengguna. Ada implementasi yang memutar alamat MAC atau kunci privat menggunakan KDF, tetapi hasilnya dapat diprediksi.
Setelah melihat kodenya, sepertinya ini menggunakan izin Apple Mail untuk mengambil lokasi yang dikumpulkan di jaringan FindMy.
Akan bagus jika ada cara untuk terintegrasi dengan aplikasi Find My. Produk kloning dari Tiongkok bisa melakukannya, jadi rasanya seharusnya ada cara.
Apple AirTags sangat bagus, tetapi ukurannya besar dan bentuknya aneh.
Saya belum menelitinya, tetapi penasaran apakah ini bisa dimanfaatkan dengan payload data acak kecil.
Saya penasaran apakah membuatnya sendiri lebih murah. Saya membeli AirTag sekitar $15. Apakah membuatnya sendiri akan lebih murah?
Saya penasaran apakah AirTag asli bisa disetel tanpa perangkat Apple lain.
Saya penasaran apakah ini bisa dipasangkan dengan aplikasi Apple Find My yang asli sehingga bisa dicari dari aplikasi.