Apple AirTag se dá hacknout. Místo oficiální stránky může odkazovat na škodlivý web

Apple často a rád deklaruje důraz na co možná nejvyšší bezpečnost a soukromí svých uživatelů. Není proto divu, že se v tomto směru ocitá pod drobnohledem nejrůznějších bezpečnostních expertů a hackerů. Ti se nyní zaměřili na nedávno představené sledovací zařízení AirTag.

Apple AirTag je chytré sledovací zařízení, které bylo uvedeno v dubnu a jehož smyslem je umožnit lidem najít ztracené věci. Podle posledních informací má údajně bezpečnostní nedostatek, který by mohl hackerům umožnit úpravu jeho firmwaru.

Jak hacknout Apple AirTag

Jako každé elektronické zařízení, zejména „chytré“, obsahuje i Apple AirTag mikroprocesor, který řídí jeho činnost. Ten má na starost celou řadu funkcí počínaje správou baterie, přes komunikaci pomocí Bluetooth, až po určování toho, jaké údaje budou odesílány přes NFC.

Podobně, jako v jakémkoli jiném chytrém zařízení, může být právě mikroprocesor zranitelným místem. A právě tímto směrem se vydal německý expert na bezpečnost Thomas Roth, vystupující na sociálních sítích pod značkou Stack Smashing.

Stručně řečeno: Roth pomocí metod reverzního inženýrství hacknul mikroprocesor AirTagu a upravil jeho firmware tak, aby dělal něco jiného, než k čemu je určen. Konkrétně dokázal změnit výchozí URL adresu, na kterou sledovací zařízení odkazuje, když se k němu přiblíží telefon s podporou NFC.

Za normálních okolností směruje odkaz ztraceného zařízení uživatele na stránku found.apple.com (součást Find My), kde se zobrazí informace o jeho majiteli. Po úpravě může odkaz směrovat prakticky kamkoli – třeba na stránku s videem na portále YouTube.

Cesta k úspěšnému hacknutí

Roth, který sám sebe označuje za výzkumníka v oblasti IT bezpečnosti, se zabývá reverzním inženýrstvím a hackováním hardwaru. Pokusy o hacknutí AirTagu strávil několik hodin a podařilo se mu dvě zařízení úplně bricknout.

Nejprve získal dump originálního firmwaru a dalších důležitých oblastí. Následně provedl úpravu a nahrál modifikovanou verzi zpět do AirTagu. Podrobnější informace si však pravděpodobně první člověk, který hacknul AirTag, nechává (alespoň zatím) pro sebe.

V každém případě je vhodné konstatovat, že jde sice o pěkný experiment, avšak s nepříliš závažnými dopady. Ukázal, že lze změnit adresu, takže sledovací zařízení může odkazovat například na webové stránky se škodlivým obsahem.

Apple při oficiálním oznámení prohlásil, že základními vlastnostmi zařízení AirTag jsou ochrana soukromí a zabezpečení. Tweety zveřejněné Rothem naznačují, že výrobce patrně bude muset přinést aktualizaci, která zablokuje možnost modifikace na této úrovni.

Diskuze (10) Další článek: Výrobce Nokií upravil plán aktualizací na Android 11. Některé modely si počkají

Témata článku: Bluetooth, NFC, AirTag, Bezpečnost, YouTube, Chytré věci, lokátor, Soukromí, Zranitelnost, Zařízení, AirTags, Firmware, Mikroprocesor, Sledovací zařízení, Oficiální stránka, Hacker


Určitě si přečtěte

RECENZE: Samsung Galaxy A52 5G – I letos má zaděláno na bestseller

RECENZE: Samsung Galaxy A52 5G – I letos má zaděláno na bestseller

** Otestovali jsme další letošní nové „áčko“, které by se mohlo stát mainstreamem ** Podobnost s Galaxy A72 je, až na baterii a jeden foťák, dost velká ** Sáhnete po levnější LTE verzi nebo po výkonnější 5G variantě?

Martin Chroust | 29

Martin Chroust
GalaxyRecenze
RECENZE: Redmi Note 10 – dobrá partie, jen nesmíte chtít telefonem taky platit

RECENZE: Redmi Note 10 – dobrá partie, jen nesmíte chtít telefonem taky platit

** Hezký displej, stereo redoruktory a odolnost IP53 ** Dobrá výdrž a rychlé dobíjení i spolehlivost čtečky otisků ** Vadou na kráse (a zejména funkčnosti) je chybějící NFC

Jakub Vrbacký | 32

Jakub Vrbacký
Nižší třídaRecenze
T-Mobile rozdává data. Zdarma, pro všechny, bez omezení objemem či rychlostí
Filip Kůžel
Neomezená dataZdarmaT-Mobile
Android 12 přinese nové prostředí. Google ukázal, jak bude vypadat
Vladislav Kluska
Android 12BetaAndroid
Garmin překvapil levným sporttesterem a LTE hodinkami pro náročné
Martin Chroust
HodinkyGarmin