紛失したアイテムを探す、私のネットワークを探すというAppleの機能には、深刻な脆弱性があります。

セキュリティ研究者のFabianBraunleinは、AppleのFind My Network機能に脆弱性を検出しました。この脆弱性は、範囲内のデバイスにテキストメッセージを送信する悪意のある人々によって深刻に悪用される可能性があります。このプロトコルは、AppleユーザーがデバイスからGPS座標を共有することにより、紛失したアイテムを見つけることができるように設計されています。ただし、セキュリティ研究者は、AirTag通信を偽造する方法を示しました。

Appleは、このネットワークは安全であり、ユーザーが紛失したものを見つけるのを助けることを目的としていると主張しています。使用されるセキュリティプロトコルは業界標準であり、エンドツーエンドの暗号化を使用します。調査によると、この機能を使用すると、ユーザーは目的の場所の詳細に加えてテキストメッセージを送信できます。これらのテキストメッセージは、iPhone、iPad、およびMacに送信できます。

しかし、Fabian Braunleinは、通常のテキストメッセージを近くのデバイスに送信するシステム内の欠陥を発見しました。彼は、AirTagデバイスが通信に使用するのと同じ方法を使用してテキストメッセージを送信することができました。GPS座標を暗号化されたメッセージとして送信します。ブラウンラインは、ダルムシュタットのドイツ工科大学が実施した研究から、この欠陥にすでに言及しています。この大学は、iOS開発者がAppleのFindMyネットワーク機能で使用できるアクセサリをさらに開発するのを支援するプロジェクトを実施していました。彼がAppleのFindMyNetworkで使用されているプロトコルを手に入れたら、ファームウェア付きのマイクロコントローラーを備え、メッセージを送信できる新しいカスタムデバイスを簡単に作成できました。このカスタムデバイスに加えて、彼はデバイスから送信されたメッセージを表示およびデコードできるMacアプリも開発しました。

この時点で、調査によると、AppleのFind My Networkは脆弱ですが、悪意のあるコンテンツを送信するために使用できる正確なデバイスは現在ありません。しかし、それはそれができないという意味ではありません。Appleのプロトコルは、実施された調査で証明されているように、位置データの代わりにテキストメッセージを送信するように簡単に変更できます。

偶然にも、先週、ドイツのセキュリティ研究者から、Appleのまったく新しいAirTagが、特にNFCリーダーの場合、デフォルトのFind MyLinkがカスタムリンクに置き換えられて侵害される可能性があるという報告がありました。偶然の一致は、これらの調査結果を提示した人々は異なりますが、調査と調査結果の性質は非常に似ているということです。