Vratislav Holub U localizatore intelligente AirTag ùn hè ancu statu in u mercatu per duie simane è hè digià pirate. Questu hè statu curatu da l'espertu di securità tedescu Thomas Roth, chì passa da u soprannomu Stack Smashing, chì hà sappiutu penetrà direttamente in u microcontroller è dopu mudificà u so firmware. L'espertu hà infurmatu nantu à tuttu per mezu di i posti in Twitter. Hè stata l'intrusione in u microcontroller chì hà permessu di cambià l'indirizzu URL à quale l'AirTag si riferisce in modu di perdita.
Iè!!! Dopu à l'ore di pruvà (è di bricking 2 AirTags) aghju sappiutu di penetrà in u microcontroller di l'AirTag! 🥳🥳🥳
/cc @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph
- stacksmashing (@ghidraninja) Chì 8, 2021
In pratica, travaglia cusì chì quandu un tali locator hè in modu di perdita, qualcunu si trova è u mette in u so iPhone (per cumunicazione via NFC), u telefunu li offre à apre un situ web. Hè cusì chì u pruduttu funziona nurmale, quandu si riferisce in seguitu à l'infurmazioni inserite direttamente da u pruprietariu originale. In ogni casu, stu cambiamentu permette à i pirate di sceglie qualsiasi URL. L'utilizatore chì dopu trova l'AirTag pò accede à qualsiasi situ web. Roth hà ancu spartutu un brevi video in Twitter (vede sottu) chì mostra a diffarenza trà un AirTag normale è pirate. À u listessu tempu, ùn deve micca scurdatu di mintuvà chì l'intrusione in u microcontroller hè u più grande ostaculu contru à manipulà u hardware di u dispusitivu, chì avà hè statu fattu in ogni modu.
Fotogaleria
Di sicuru, sta imperfezione hè facilmente sfruttata è pò esse periculosa in e mani sbagliate. I pirate di u pirate puderanu aduprà sta prucedura, per esempiu, per phishing, induve attrae e dati sensittivi da e vittimi. À u listessu tempu, apre a porta per altri fan chì ponu avà principià à mudificà l'AirTag. Cume Apple affruntà questu ùn hè micca chjaru per avà. U peghju scenariu hè chì u locator mudificatu in questu modu serà sempre cumplettamente funziunale è ùn pò micca esse bluccatu remotamente in a Find My network. A seconda opzione sona megliu. Sicondu ella, u giant di Cupertino puderia trattà stu fattu attraversu un aghjurnamentu di software.
Custruita una demo rapida: AirTag cun URL NFC modificatu 😎
(Cavi aduprati solu per l'alimentazione) pic.twitter.com/DrMIK49Tu0
- stacksmashing (@ghidraninja) Chì 8, 2021
Puderia esse ti interessa
Solu una sensazione, una bolla inflata inutilmente. Questu ùn hà micca un impattu maiò nantu à u scopu primariu di l'AirTag. Pensu chì ùn avemu micca da preoccupassi di qualchì pirate in massa di i nostri key fobs.
È chì hà fattu ? Ùn vecu micca cumu puderia esse bonu per qualcunu.
Iè, questu hè a famosa sicurità di Apple :-(
Per mè, AirTag hè un dispositivu completamente inutile! Ci sò parechje altre nantu à u mercatu, cù e stesse funzioni, è cum'è bonus per un terzu di u prezzu :-)