एयरटैग स्मार्ट लोकेटर को बाज़ार में आए अभी दो सप्ताह भी नहीं हुए हैं और इसे पहले ही हैक कर लिया गया है। इसका ध्यान जर्मन सुरक्षा विशेषज्ञ थॉमस रोथ द्वारा रखा गया था, जिन्हें स्टैक स्मैशिंग उपनाम से जाना जाता है, जो सीधे माइक्रोकंट्रोलर में प्रवेश करने और बाद में इसके फर्मवेयर को संशोधित करने में सक्षम थे। एक्सपर्ट ने ट्विटर पर पोस्ट के जरिए सारी बातों की जानकारी दी. यह माइक्रोकंट्रोलर में घुसपैठ थी जिसने उसे यूआरएल पता बदलने की अनुमति दी थी जिसे एयरटैग फिर हानि मोड में संदर्भित करता है।
हाँ!!! घंटों की कोशिश के बाद (और 2 एयरटैग को तोड़ने के बाद) मैं एयरटैग के माइक्रोकंट्रोलर में सेंध लगाने में कामयाब रहा! 🥳🥳🥳
/सीसी @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph
- स्टैकस्मैशिंग (@ghidraninja) 8 मई 2021
व्यवहार में, यह इस तरह से काम करता है कि जब ऐसा लोकेटर हानि मोड में होता है, तो कोई इसे ढूंढता है और इसे अपने iPhone (एनएफसी के माध्यम से संचार के लिए) में डालता है, फोन उन्हें एक वेबसाइट खोलने की पेशकश करेगा। इस प्रकार उत्पाद सामान्य रूप से काम करता है, जब बाद में यह मूल स्वामी द्वारा सीधे दर्ज की गई जानकारी को संदर्भित करता है। वैसे भी, यह बदलाव हैकर्स को कोई भी यूआरएल चुनने की इजाजत देता है। जो उपयोगकर्ता बाद में एयरटैग पाता है वह किसी भी वेबसाइट तक पहुंच सकता है। रोथ ने ट्विटर पर एक छोटा वीडियो भी साझा किया (नीचे देखें) जिसमें सामान्य और हैक किए गए एयरटैग के बीच अंतर दिखाया गया है। साथ ही, हमें यह उल्लेख करना नहीं भूलना चाहिए कि माइक्रोकंट्रोलर में सेंध लगाना डिवाइस के हार्डवेयर में हेरफेर करने में सबसे बड़ी बाधा है, जो अब वैसे भी किया गया है।
बेशक, इस अपूर्णता का आसानी से फायदा उठाया जा सकता है और गलत हाथों में यह खतरनाक हो सकता है। हैकर्स इस प्रक्रिया का उपयोग कर सकते हैं, उदाहरण के लिए, फ़िशिंग के लिए, जहां वे पीड़ितों से संवेदनशील डेटा का लालच लेंगे। साथ ही, यह अन्य प्रशंसकों के लिए भी द्वार खोलता है जो अब एयरटैग को संशोधित करना शुरू कर सकते हैं। Apple इससे कैसे निपटेगा यह अभी स्पष्ट नहीं है। सबसे खराब स्थिति यह है कि इस तरह से संशोधित लोकेटर अभी भी पूरी तरह कार्यात्मक होगा और फाइंड माई नेटवर्क में दूरस्थ रूप से अवरुद्ध नहीं किया जा सकता है। दूसरा विकल्प बेहतर लगता है. उनके अनुसार, क्यूपर्टिनो की दिग्गज कंपनी एक सॉफ्टवेयर अपडेट के जरिए इस तथ्य का इलाज कर सकती है।
एक त्वरित डेमो बनाया: संशोधित एनएफसी यूआरएल के साथ एयरटैग 😎
(केबल केवल बिजली के लिए उपयोग किया जाता है) pic.twitter.com/DrMIK49Tu0
- स्टैकस्मैशिंग (@ghidraninja) 8 मई 2021
बस एक अनुभूति, एक अनावश्यक रूप से फुला हुआ बुलबुला। इसका AirTag के प्राथमिक उद्देश्य पर कोई बड़ा प्रभाव नहीं पड़ता है। मुझे नहीं लगता कि हमें अपने कुंजी फ़ॉब्स की किसी बड़े पैमाने पर हैकिंग के बारे में बिल्कुल भी चिंता करने की ज़रूरत है।
और उसने क्या हासिल किया? मुझे समझ नहीं आता कि यह किसी के लिए कैसे अच्छा हो सकता है।
हाँ, यह Apple की प्रसिद्ध सुरक्षा है :-(
मेरे लिए, AirTag पूरी तरह से बेकार डिवाइस है! बाज़ार में समान कार्यों के साथ और भी बहुत कुछ है, और कीमत के एक तिहाई पर बोनस के रूप में :-)