მილიონობით Apple AirPlay-მოწყობილობის გატეხვა Wi-Fi-ს საშუალებითაა შესაძლებელი

ჰაკერებს შეუძლიათ, თავიანთი კოდი AirPlay-მოწყობილობებზე AirBorne-ის სახელით ცნობილი ხარვეზების კრებულის წყალობით გაუშვან.

Apple-ის AirPlay ფუნქცია iPhone-ებსა და MacBook-ებს საშუალებას აძლევს, უწყვეტად დაუკრან მუსიკა ან აჩვენონ ფოტოები და ვიდეოები სხვა Apple მოწყობილობებზე ან მესამე მხარის დინამიკებსა და ტელევიზორებზე. ახლა კი, ახლად აღმოჩენილი უსაფრთხოების ხარვეზები AirPlay-ში ნიშნავს, რომ იმავე უსადენო კავშირებმა, შესაძლოა, ჰაკერებს ქსელში ისევე მარტივად გადაადგილების საშუალება მისცეს და მავნე კოდი ერთი დაინფიცირებული მოწყობილობიდან მეორეზე გაავრცელონ.

Apple-ის პროდუქტები ცნობილია რეგულარული განახლებებით, მაგრამ იმის გათვალისწინებით, თუ რამდენად იშვიათად ახლდება ზოგიერთი სმარტ-სახლის მოწყობილობა, სავარაუდოა, რომ მავნე პროგრამისთვის ეს უსადენო „ფეხის მოსაკიდებელი წერტილები“ AirPlay-მოწყობილობების ასობით მოდელში წლების განმავლობაში შენარჩუნდება.

გასულ სამშაბათს, კიბერუსაფრთხოების ფირმა Oligo-მ გამოაქვეყნა ინფორმაცია, რასაც ისინი AirBorne-ს უწოდებენ — მოწყვლადობების კრებული, რომელიც AirPlay-ს, Apple-ის საკუთრების რადიო-დაფუძნებულ პროტოკოლს, ეხება. Apple-ის AirPlay-ს პროგრამული უზრუნველყოფის შემუშავების ნაკრებში (SDK) არსებული ხარვეზები ჰაკერებს საშუალებას მისცემდა, ხელში ჩაეგდოთ ისეთი მოწყობილობები, როგორიცაა დინამიკები, მიმღებები, სეტ-ტოპ ბოქსები ან სმარტ ტელევიზორები, თუ ისინი ჰაკერის მოწყობილობასთან ერთსა და იმავე Wi-Fi ქსელში იმყოფებოდნენ.

მილიონობით მოწყვლადი მოწყობილობა

Oligo-ს მთავარი ტექნოლოგიური ოფიცრის, გალ ელბაზის, შეფასებით, პოტენციურად მოწყვლადი მესამე მხარის AirPlay-მოწყობილობების რიცხვი ათობით მილიონს აღწევს. „ვინაიდან AirPlay-ს მხარდაჭერა მოწყობილობების ასეთ ფართო სპექტრს აქვს, ბევრი მათგანის დაპატჩვას წლები დასჭირდება — ან ისინი არასდროს დაიპატჩება,“ — ამბობს ელბაზი.

თუ ჰაკერს შეუძლია, იმავე Wi-Fi ქსელში მოხვდეს, რომელშიც ეს მოწყვლადი მოწყობილობებია — იქნება ეს სახლის, კორპორატიული ქსელის სხვა კომპიუტერის გატეხვით, თუ უბრალოდ იმავე ყავის მაღაზიის ან აეროპორტის Wi-Fi-სთან დაკავშირებით — მათ შეუძლიათ, ფარულად დაეუფლონ ამ მოწყობილობებს. იქიდან კი, მათ შეუძლიათ, გამოიყენონ ეს კონტროლი, რათა შეინარჩუნონ ფარული წვდომის წერტილი, გატეხონ ქსელის სხვა სამიზნეები ან დაამატონ მანქანები ინფიცირებული, კოორდინირებული მანქანების ბოტნეტში.

Oligo ასევე აღნიშნავს, რომ ბევრ მოწყვლად მოწყობილობას აქვს მიკროფონი და, შესაძლოა, ისინი შპიონაჟისთვის მოსასმენ მოწყობილობებად გადაიქცნენ.

Apple-ი WIRED-ს ეუბნება, რომ მან ასევე შექმნა პატჩები, რომლებიც დაზარალებული მესამე მხარის მოწყობილობებისთვისაა ხელმისაწვდომი. კომპანია ხაზს უსვამს, რომ თავდასხმები შეზღუდულია, რადგან თავდამსხმელი სამიზნესთან ერთსა და იმავე Wi-Fi ქსელში უნდა იყოს.

CarPlay-ს რისკები

Oligo-ს მიერ აღმოჩენილი AirBorne-ის მოწყვლადობები ასევე ეხება CarPlay-ს, რადიო პროტოკოლს, რომელიც ავტომობილების საინფორმაციო-გასართობ სისტემებთან დასაკავშირებლად გამოიყენება. Oligo აფრთხილებს, რომ ეს ნიშნავს, რომ ჰაკერებს შეუძლიათ, ხელში ჩაიგდონ მანქანის კომპიუტერი 800-ზე მეტ CarPlay-თავსებად ავტომობილის მოდელში.

თუმცა, ამ კონკრეტულ შემთხვევებში, AirBorne-ის მოწყვლადობების ექსპლუატაცია მხოლოდ იმ შემთხვევაშია შესაძლებელი, თუ ჰაკერს შეუძლია, დააწყვილოს საკუთარი მოწყობილობა მანქანის მთავარ მოდულთან Bluetooth-ით ან USB-კავშირით, რაც CarPlay-ზე დაფუძნებული სატრანსპორტო საშუალებების გატეხვის საფრთხეს მკვეთრად ზღუდავს.

სახლის მედია მოწყობილობებში არსებული AirPlay SDK-ის ხარვეზები, ამის საპირისპიროდ, შესაძლოა, უფრო პრაქტიკულ მოწყვლადობას წარმოადგენდეს ჰაკერებისთვის.

„მოწყვლადი მოწყობილობების რაოდენობა, სწორედ ეს მაშფოთებს,“ — ამბობს Oligo-ს მკვლევარი ური კაცი. „ბოლოს როდის განაახლეთ თქვენი დინამიკი?“

„როდესაც მესამე მხარის მწარმოებლები ახდენენ Apple-ის ტექნოლოგიების, როგორიცაა AirPlay, SDK-ის საშუალებით ინტეგრაციას, ცხადია, Apple-ს აღარ აქვს პირდაპირი კონტროლი აპარატურაზე ან დაპატჩვის პროცესზე,“ — ამბობს პატრიკ უორდლი, Apple-ის მოწყობილობებზე ფოკუსირებული უსაფრთხოების ფირმა DoubleYou-ს CEO. „შედეგად, როდესაც მოწყვლადობები ჩნდება და მესამე მხარის გამყიდველები ვერ ახერხებენ თავიანთი პროდუქტების დროულად განახლებას — ან საერთოდ არ ანახლებენ — ეს არა მხოლოდ მომხმარებლებს აყენებს რისკის ქვეშ, არამედ, შესაძლოა, შეარყიოს ნდობა უფრო ფართო Apple-ის ეკოსისტემის მიმართ.“

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.