Seguridad de Instant Hotspot
Instant Hotspot conecta otros dispositivos Apple a un punto de acceso personal de iPhone y iPad. Los dispositivos iPhone y iPad compatibles con Instant Hotspot usan la tecnología Bluetooth LE (BLE) para detectar y comunicarse con todos los dispositivos que hayan iniciado sesión en la misma cuenta individual de iCloud o en las cuentas de iCloud que usen “En familia” (en iOS 13 y iPadOS). Los ordenadores Mac compatibles con OS X 10.10 o posterior utilizan la misma tecnología para detectar dispositivos iPhone y iPad, y comunicarse con ellos mediante Instant Hotspot.
Inicialmente, cuando un usuario accede a los ajustes de wifi en un dispositivo, este emite un aviso de BLE que contiene un identificador común para todos los dispositivos que han iniciado sesión en la misma cuenta de iCloud. El identificador se genera desde un identificador DSID (Destination Signaling Identifier) vinculado a la cuenta de iCloud y va rotando periódicamente. Si hay otros dispositivos que han iniciado sesión en la misma cuenta de iCloud cerca y son compatibles con la función de punto de acceso personal, detectan la señal y responden indicando su disponibilidad para usar Instant Hotspot.
Cuando un usuario que no forma parte de “En familia” selecciona un iPhone o iPad como punto de acceso personal, se envía una solicitud de activación del punto de acceso personal a dicho dispositivo. La solicitud se envía mediante un enlace que se encripta con la encriptación BLE y la solicitud se encripta mediante un proceso parecido al de la encriptación de iMessage. A continuación, el dispositivo responde a través del mismo enlace de BLE con la misma encriptación por mensaje con información de la conexión del punto de acceso personal.
Para los usuarios que forman parte de “En familia”, la información de la conexión del punto de acceso personal se comparte de forma segura mediante un mecanismo similar al usado por los dispositivos de HomeKit para sincronizar la información. Concretamente, la conexión que comparte la información del punto de acceso entre los usuarios se protege mediante clave efímera ECDH (Curve25519) que se autentica con las claves públicas Ed25519 específicas de cada dispositivo de los usuarios. Las claves públicas que se utilizan son las que se habían sincronizado previamente entre los miembros de “En familia” mediante el IDS cuando se estableció el servicio “En familia”.