Piyasada yeni olmasına rağmen, Apple’ın AirTag öğe izleyicisi, cihaz Kayıp Moduna getirildiğinde özel bir web sitesi görüntülemek için başarıyla hacklendi.
Apple AirTag Hacklendi
Almanya’dan bir güvenlik araştırmacısı olan Thomas Roth, Twitter’da kendi AirTag’ini başarıyla hacklemeyi başardığını bildirdi – bu ürünün yalnızca 30 Nisan 2021’de piyasaya sürüldüğü düşünüldüğünde etkileyici bir başarı.
Araştırmacının, tipik olarak diğer bileşenleri ve çevre birimlerini yöneten ve kontrol eden tek bir yonga üzerindeki küçük bir bilgisayar olan aksesuarın mikro denetleyicisine girmeyi başardığı bildirildi. Bunu yaparken, Roth mikrodenetleyiciyi flaş edebildi – başka bir deyişle, Apple’ın cihaza güç veren yazılımını yeniden yazabildi.
Ayrıca, özel bir URL’mi Bul özelliğine sahip değiştirilmiş bir AirTag’in saldırıya uğramamış bir sürüme kıyasla nasıl çalıştığını gösteren bir video paylaştı. Roth, cihaza güç sağlamak için değiştirilmiş AirTag’in kablolara bağlanması gerektiğini söylüyor. AirTag çok sıkı bir şekilde paketlenmiş küçük bir cihaz olduğu için mantık kartını cihaz kasasından çıkarmak zorunda kaldı.
AirTag’in Kayıp Modu için URL’yi Değiştirme
Kullanıcı Bul uygulamasında AirTag’ini kayıp olarak işaretlediğinde, aksesuarın kaybolduğunu belirten özel bir mesaj oluşturabilir. Böyle bir mesaj tipik olarak sahibinin telefon numarasını içerecektir. Başka biri kayıp bir AirTag bulursa, Kayıp Mod mesajıyla özel bir web sayfasına erişmek için NFC’yi destekleyen herhangi bir akıllı telefonu kullanabilir.
Roth, kavram kanıtı hackinin AirTag yazılımının Kayıp Mod gibi belirli işlevlerin yaptığı şeyleri değiştirmek için değiştirilebileceğini göstermeye hizmet ettiğini söylüyor. Başka ne yapılabileceği ve kötü niyetli kullanıcıların bu saldırıdan kötü amaçlarla yararlanıp yararlanamayacağı belirsiz.
Tamamen spekülasyon yapıyoruz, ancak jailbreak topluluğu, AirTag’e kutudan çıkar çıkmaz desteklenmeyen özellikler ve kullanıcı özelleştirmeleri eklemek için bundan yararlanabilir.
AirTag Güvenliği Hakkında Bilmeniz Gerekenler
AirTag, Apple’ın konum verilerini uçtan uca şifrelemeyle gizli ve anonim tutmak için tasarlanmış güvenli Bul ağına güveniyor. Önemli olarak, AirTag içinde fiziksel olarak hiçbir konum verisi veya konum geçmişi depolanmaz.
“Bul ağıyla iletişim uçtan uca şifrelenmiştir, böylece yalnızca bir aygıtın sahibi konum verilerine erişebilir ve Apple dahil hiç kimse aygıtın bulunmasına yardımcı olan herhangi bir aygıtın kimliğini veya konumunu bilemez.” Apple’a göre.
Neyse ki Apple, ürünlerindeki güvenlik açıklarını insanca mümkün olan en kısa sürede düzeltmekte. AirTag için gelecekteki bir yazılım güncellemesi, mikro denetleyiciye girilemeyecek şekilde güvenlik denetimini düzeltebilir.
Bunun da ötesinde, Apple teorik olarak saldırıya uğramış bir AirTag’i ilk etapta Find My ağıyla iletişim kurmasını engelleyerek uzaktan devre dışı bırakabilir.