Appleの紛失防止タグAirTagの内蔵プログラムが書き換え可能であることを確認した、とセキュリティ研究者が報告し、紛失モードのAirTagからアクセスできるURLを変更したデモ動画も公開しています。
AirTagの動作を変更させるデモ動画も公開
4月30日に発売されたAirTagは、紛失モードにすると、NFC対応スマートフォンをかざして所有者の連絡先情報が確認できる「探す」のWebサイトにアクセス可能です。
セキュリティ研究者のstacksmashing氏(@ghidraninja)は、AirTagのマイクロコントローラーに侵入してプログラムが書き換え可能であることが確認できた、とTwitterで報告しています。
ちなみに、マイクロコントローラーに侵入するまでに、2つのAirTagが使い物にならない状態になったそうです。
Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag!
/cc @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph
— stacksmashing (@ghidraninja) May 8, 2021
同氏は、改造したAirTagを紛失モードにしてiPhoneをかざすと、任意のWebサイトにジャンプさせることが可能になったことを示す動画も投稿しています。
Built a quick demo: AirTag with modified NFC URL
(Cables only used for power) pic.twitter.com/DrMIK49Tu0
— stacksmashing (@ghidraninja) May 8, 2021
このニュースを伝えた9to5Macは、今後、こうした変更がフィッシングなどに悪用される危険性があると指摘し、Appleによるサーバーサイドでの対策が望まれる、とコメントしています。
プライバシー保護機能には疑問の声も
AirTagには、自分のものではないAirTagが自分と一緒に移動していることを認識するとiPhoneの表示とAirTagのサウンドで警告するプライバシー保護機能が搭載されています。
しかし、米紙The Washington PostはAirTagがストーキングに悪用される危険性がある、と報じています。
また、iFixitはAirTagを分解して検証した結果、音を鳴らすスピーカーが比較的簡単に無効化される可能性がある、と注意喚起しています。
- Original:https://iphone-mania.jp/news-366939/
- Source:iPhone Mania
- Author:iPhone Mania