サイトアイコン IT NEWS

AirTagのプライバシー保護機能に抜け穴、新対策の効果も限定的と研究者が指摘

AppleEvent AirTag
 
AirTagのプライバシー保護機能にはいくつかの抜け道があり、Appleが予告しているアップデートも効果は限定的ではないか、とクローンのAirTagを用いた実験をもとにセキュリティ研究者が指摘しています。

セキュリティ研究者がAirTagの抜け穴を検証

Appleが提供するAirTagの悪用防止策には抜け穴がある、とドイツのセキュリティ企業Positive Securityのファビアン・ブラウンレイン氏がブログで検証結果を公開しました。
 
ブラウンレイン氏は、Bluetooth通信機能を持つマイクロコントローラのESP32に、定期的に公開鍵を更新するファームウェアを書き込んでAirTagのクローンを制作し実験を行っています。サウンドを鳴らすスピーカーは追加していません。
 

 

Appleの用意した対策の抜け穴を突くクローン

AppleはAirTagや「探す」ネットワーク対応製品のシリアル番号とApple IDを連携させることで、Apple IDの持ち主からAirTagなどが離れて時間が経つと追跡の可能性を警告しますが、シリアル番号を持たないクローンにはこの方法は効果がありません。
 
また、クローンのAirTagにはサウンドを鳴らす機能を搭載していないので、サウンドによる警告も使えません。なお、海外ではスピーカーを無効化する不正改造が施されたAirTagが販売されていることも確認されています。

Appleの発表した対策はクローンAirTagにほぼ効果なし

先日、Appleが発表したAirTagの悪用を防ぐために計画しているアップデートについても、クローンのAirTagにはほぼ効果がない、とブラウンレイン氏は指摘しています。
 
追跡に用いられたAirTagの位置を確認するための超広帯域無線(UWB)も、UWBチップを搭載しないクローンのAirTagには意味がありません。
 

 

Androidアプリによる検出、学生制作アプリがApple製を上回る

AppleがAndroid向けに提供している「Tracker Detect」は、クローンのAirTagを発見することはできませんでした。
 
一方、ドイツのドルトムント工科大学の大学院生が公開したアプリ「AirGuard」は、クローンのAirTagを検出できたそうです。なお、「AirGuard」は「Tracker Detect」が非対応のバックグラウンドでのスキャンにも対応します。
 
ブラウンレイン氏はこの違いについて、「AirGuard」は1つの公開鍵を複数のビーコンと紐づけて検出するためではないか、と指摘しています。
 

 
 
Source:Positive Security via AppleInsider
(hato)

モバイルバージョンを終了