一种名为“nRootTag”的新型攻击，将超过15亿台苹果设备（包括iPhone、iPad、Apple Watch和Mac）暴露在恶意攻击者的隐蔽追踪之下。这项攻击由研究人员Junming Chen、Xiaoyue Ma、Lannan Luo和Qiang Zeng在即将发布的2025年USENIX安全研讨会论文中详细阐述，它通过利用苹果的“查找我的”网络，将非苹果设备变为无需root访问权限的隐秘追踪信标。该攻击利用了蓝牙低功耗（BLE）协议，对全球隐私构成了前所未有的威胁。

nRootTag如何劫持苹果的“查找我的”网络

苹果的“查找我的”网络原本设计用于通过附近苹果设备发出的众包蓝牙信号来定位丢失的设备，其依靠AirTags广播的加密“丢失消息”。这些消息由附近的设备中继到苹果云端，方便设备所有者获取位置数据。而nRootTag攻击通过伪造合法的AirTag广播，绕过了该系统的安全防护。

攻击的第一步是在目标设备（如Windows PC、Android手机或基于Linux的物联网设备）上安装木马化代码。该代码会收集设备的BLE广播地址，并从攻击者控制的服务器请求匹配的公钥/私钥对。一旦配置完成，设备便会广播与真实AirTag信号不同的伪造“丢失消息”。

攻击概述

附近的苹果设备在无意中充当了“发现者”角色，将这些消息中继到苹果的服务器，使攻击者能够追踪设备的实时位置。研究人员开发了两种生成有效加密密钥的方法：预计算彩虹表和实时GPU辅助密钥搜索。

nRootTag的架构

预计算的彩虹表可以实现即时密钥检索，而NVIDIA RTX 3080等GPU集群或数据中心级A100可以以每秒210万密钥的速度进行暴力破解。这种高效性将攻击成本降低至“每目标不到5美元”，同时在几分钟内实现了90%的成功率。

值得注意的是，该漏洞的跨平台兼容性使其扩展到智能手表、笔记本电脑和医疗物联网设备，进一步扩大了其威胁范围。

补丁与持续风险

苹果已在iOS 18.2、macOS Sequoia 15.2等更新中发布了补丁以缓解nRootTag攻击。然而，这些补丁只能防止已更新的苹果设备中继恶意信号。全球仍有超过15亿台活跃设备，其中许多运行过时的软件，因此攻击仍然有效。论文指出：“只要附近存在未更新的iPhone，追踪链就会持续。”

这项由美国国家科学基金会（NSF）和联邦网络倡议资助的研究敦促企业分离蓝牙流量并实施严格的设备认证。对于消费者而言，立即更新软件至关重要。然而，研究人员警告称，nRootTag的低成本和可扩展性使其“必然会被网络犯罪分子采用”。

nRootTag揭示了众包追踪网络的系统性缺陷。通过利用对苹果生态系统的信任，该攻击侵蚀了匿名性保障，并展示了良性的基础设施如何被武器化。随着蓝牙设备的普及，这项研究呼吁重新评估离线查找系统的加密设计，以防止恶意追踪成为普遍问题。

苹果尚未对此发表评论，仅确认了研究人员的披露。随着漏洞的蓝图公开，保护数十亿设备安全的斗争才刚刚开始。

参考来源：

New “nRootTag” Attack Turns 1.5 Billion iPhones as Free Tracking Agents for Attacker