Vratislav Xolub AirTag aqlli lokatori ikki haftadan beri bozorga chiqmagan va u allaqachon buzilgan. Bunga Stack Smashing laqabli nemis xavfsizlik mutaxassisi Tomas Rot g'amxo'rlik qildi, u mikrokontrollerga to'g'ridan-to'g'ri kirib, keyinchalik uning dasturiy ta'minotini o'zgartira oldi. Mutaxassis Twitter’dagi postlari orqali hamma narsa haqida ma’lumot berdi. Aynan mikrokontrollerga bostirib kirish unga AirTag yo'qotish rejimida murojaat qiladigan URL manzilini o'zgartirishga imkon berdi.
Hass!!! Bir necha soatlik urinishlardan so'ng (va 2 ta AirTag-ni sindirish) men AirTag mikrokontrolleriga kirishga muvaffaq bo'ldim! 🥳🥳🥳
/cc @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph
- stacksmashing (@ghidraninja) , 8 2021 mumkin
Amalda shunday ishlaydiki, bunday lokator yo'qolgan rejimda bo'lsa, kimdir uni topadi va o'z iPhone-ga qo'yadi (NFC orqali aloqa qilish uchun), telefon ularga veb-sayt ochishni taklif qiladi. Agar mahsulot asl egasi tomonidan to'g'ridan-to'g'ri kiritilgan ma'lumotlarga tegishli bo'lsa, shunday ishlaydi. Qanday bo'lmasin, bu o'zgarish xakerlarga istalgan URLni tanlash imkonini beradi. Keyinchalik AirTag-ni topgan foydalanuvchi istalgan veb-saytga kirishi mumkin. Rot shuningdek, Twitter-da oddiy va buzilgan AirTag o'rtasidagi farqni ko'rsatadigan qisqa videoni (pastga qarang) baham ko'rdi. Shu bilan birga, shuni ta'kidlashni unutmasligimiz kerakki, mikrokontrollerga kirish qurilmaning apparatini manipulyatsiya qilishning eng katta to'siqidir, bu hozirda baribir amalga oshirildi.
Fotogalereya
Albatta, bu nomukammallik osongina ishlatiladi va noto'g'ri qo'llarda xavfli bo'lishi mumkin. Xakerlar ushbu protseduradan, masalan, qurbonlarning nozik ma'lumotlarini jalb qiladigan fishing uchun foydalanishlari mumkin. Shu bilan birga, u endi AirTag-ni o'zgartirishni boshlashi mumkin bo'lgan boshqa muxlislar uchun eshikni ochadi. Apple bunga qanday munosabatda bo'lishi hozircha noma'lum. Eng yomon vaziyat stsenariysi shundaki, shu tarzda o'zgartirilgan lokator hali ham to'liq ishlaydi va "Meningimni top" tarmog'ida masofadan turib bloklab bo'lmaydi. Ikkinchi variant yaxshiroq eshitiladi. Uning so'zlariga ko'ra, kupertinolik gigant bu haqiqatni dasturiy ta'minotni yangilash orqali davolashi mumkin.
Tezkor demo tuzildi: o'zgartirilgan NFC URL-lari bilan AirTag 😎
(Faqat quvvat uchun ishlatiladigan kabellar) pic.twitter.com/DrMIK49Tu0
- stacksmashing (@ghidraninja) , 8 2021 mumkin
Bo'lishi mumkin sizni qiziqtiradi
Shunchaki sensatsiya, keraksiz shishirilgan qabariq. Bu AirTagning asosiy maqsadiga katta ta'sir ko'rsatmaydi. O'ylaymanki, biz kalit foblarimizni ommaviy ravishda buzish haqida qayg'urmasligimiz kerak.
Xo'sh, u nimaga erishdi? Qanday qilib bu hech kimga yaxshi bo'lishi mumkinligini tushunmayapman.
Ha, bu Apple-ning mashhur xavfsizligi :-(
Men uchun AirTag mutlaqo keraksiz qurilma! Bozorda bir xil funktsiyalarga ega va narxning uchdan bir qismi uchun bonus sifatida ko'plab boshqalar mavjud :-)