この情報は、iPhone Maniaさんのブログで知りました。
Appleの紛失防止タグAirTagの内蔵プログラムが書き換え可能であることを確認した、とセキュリティ研究者が報告し、紛失モードのAirTagからアクセスできるURLを変更したデモ動画も公開しています。
4月30日に発売されたAirTagは、紛失モードにすると、NFC対応スマートフォンをかざして所有者の連絡先情報が確認できる「探す」のWebサイトにアクセス可能です。
セキュリティ研究者のstacksmashing氏(@ghidraninja)は、AirTagのマイクロコントローラーに侵入してプログラムが書き換え可能であることが確認できた、とTwitterで報告しています。
ちなみに、マイクロコントローラーに侵入するまでに、2つのAirTagが使い物にならない状態になったそうです。
同氏は、改造したAirTagを紛失モードにしてiPhoneをかざすと、任意のWebサイトにジャンプさせることが可能になったことを示す動画も投稿しています。
stacksmashing@ghidraninja
Built a quick demo: AirTag with modified NFC URL 😎 (Cables only used for power) https://t.co/DrMIK49Tu0
2021年05月09日 07:58
このニュースを伝えた9to5Macは、今後、こうした変更がフィッシングなどに悪用される危険性があると指摘し、Appleによるサーバーサイドでの対策が望まれる、とコメントしています。
AirTagには、自分のものではないAirTagが自分と一緒に移動していることを認識するとiPhoneの表示とAirTagのサウンドで警告するプライバシー保護機能が搭載されています。
しかし、米紙The Washington PostはAirTagがストーキングに悪用される危険性がある、と報じています。
また、iFixitはAirTagを分解して検証した結果、音を鳴らすスピーカーが比較的簡単に無効化される可能性がある、と注意喚起しています。
またね。
