Vratislav Holub Lokalizatè entelijan AirTag la pa menm sou mache a pou de semèn e li deja pirate. Sa a te pran swen pa ekspè sekirite Alman Thomas Roth, ki moun ki ale nan tinon Stack Smashing la, ki moun ki te kapab antre dirèkteman nan mikrokontwolè a epi imedyatman modifye firmwèr li yo. Ekspè a enfòme sou tout bagay atravè posts sou Twitter. Li te entrizyon nan mikrokontwolè a ki te pèmèt li chanje adrès URL kote AirTag la refere lè sa a nan mòd pèt.
Wiss!!! Apre kèk èdtan nan eseye (ak brik 2 AirTags) mwen jere yo kraze nan mikrokontwolè a nan AirTag la! 🥳🥳🥳
/cc @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph
- stacksmashing (@ghidraninja) Se pou 8, 2021
Nan pratik, li travay pou ke lè tankou yon lokalizatè se nan mòd nan pèdi, yon moun jwenn li epi li mete li nan iPhone yo (pou kominikasyon atravè NFC), telefòn nan pral ofri yo louvri yon sit entènèt. Sa a se ki jan pwodwi a travay nòmalman, lè li imedyatman refere a enfòmasyon antre dirèkteman pa pwopriyetè orijinal la. De tout fason, chanjman sa a pèmèt entru yo chwazi nenpòt URL. Itilizatè a ki imedyatman jwenn AirTag la ka jwenn aksè nan nenpòt sit entènèt. Roth te pataje tou yon videyo kout sou Twitter (gade anba a) ki montre diferans ki genyen ant yon AirTag nòmal ak yon AirTag rache. An menm tan an, nou pa dwe bliye mansyone ke kraze nan mikrokontwolè a se pi gwo obstak kont manipile pyès ki nan konpitè nan aparèy la, ki kounye a te fè de tout fason.
Galeri foto
Natirèlman, enpèfeksyon sa a fasil eksplwate epi li ka danjere nan men yo mal. Entru yo ka itilize pwosedi sa a, pou egzanp, pou èskrokri, kote yo ta atire done sansib nan men viktim yo. An menm tan an, li louvri pòt la pou lòt fanatik ki kounye a ka kòmanse modifye AirTag la. Ki jan Apple pral fè fas ak sa a pa klè pou kounye a. Senaryo ki pi move a se ke lokalizatè a modifye nan fason sa a ap toujou konplètman fonksyonèl epi yo pa ka bloke adistans nan rezo Find My. Dezyèm opsyon a son pi byen. Dapre li, jeyan ki soti nan Cupertino te kapab trete reyalite sa a atravè yon aktyalizasyon lojisyèl.
Bati yon Demo rapid: AirTag ak URL NFC modifye 😎
(Cables itilize sèlman pou pouvwa) pic.twitter.com/DrMIK49Tu0
- stacksmashing (@ghidraninja) Se pou 8, 2021
Li ta ka enterese w
Jis yon sansasyon, yon ti wonn san nesesite. Sa a pa gen gwo enpak sou objektif prensipal AirTag la. Mwen pa panse ke nou gen pou enkyete sou kèk piratage mas nan kle fobs nou yo ditou.
E kisa li reyalize? Mwen pa wè ki jan li ta ka bon pou nenpòt moun.
Wi, se pi popilè sekirite Apple la :-(
Pou mwen, AirTag se yon aparèy konplètman initil! Gen anpil lòt sou mache a, ak menm fonksyon yo, ak kòm yon bonis pou yon tyè nan pri a :-)