AirTagのプライバシー保護機能にはいくつかの抜け道があり、Appleが予告しているアップデートも効果は限定的ではないか、とクローンのAirTagを用いた実験をもとにセキュリティ研究者が指摘しています。
セキュリティ研究者がAirTagの抜け穴を検証
Appleが提供するAirTagの悪用防止策には抜け穴がある、とドイツのセキュリティ企業Positive Securityのファビアン・ブラウンレイン氏がブログで検証結果を公開しました。
ブラウンレイン氏は、Bluetooth通信機能を持つマイクロコントローラのESP32に、定期的に公開鍵を更新するファームウェアを書き込んでAirTagのクローンを制作し実験を行っています。サウンドを鳴らすスピーカーは追加していません。
Appleの用意した対策の抜け穴を突くクローン
AppleはAirTagや「探す」ネットワーク対応製品のシリアル番号とApple IDを連携させることで、Apple IDの持ち主からAirTagなどが離れて時間が経つと追跡の可能性を警告しますが、シリアル番号を持たないクローンにはこの方法は効果がありません。
また、クローンのAirTagにはサウンドを鳴らす機能を搭載していないので、サウンドによる警告も使えません。なお、海外ではスピーカーを無効化する不正改造が施されたAirTagが販売されていることも確認されています。
Appleの発表した対策はクローンAirTagにほぼ効果なし
先日、Appleが発表したAirTagの悪用を防ぐために計画しているアップデートについても、クローンのAirTagにはほぼ効果がない、とブラウンレイン氏は指摘しています。
追跡に用いられたAirTagの位置を確認するための超広帯域無線(UWB)も、UWBチップを搭載しないクローンのAirTagには意味がありません。
Androidアプリによる検出、学生制作アプリがApple製を上回る
AppleがAndroid向けに提供している「Tracker Detect」は、クローンのAirTagを発見することはできませんでした。
一方、ドイツのドルトムント工科大学の大学院生が公開したアプリ「AirGuard」は、クローンのAirTagを検出できたそうです。なお、「AirGuard」は「Tracker Detect」が非対応のバックグラウンドでのスキャンにも対応します。
ブラウンレイン氏はこの違いについて、「AirGuard」は1つの公開鍵を複数のビーコンと紐づけて検出するためではないか、と指摘しています。
Source:Positive Security via AppleInsider
(hato)
- Original:https://iphone-mania.jp/news-439645/
- Source:iPhone Mania
- Author:iPhone Mania