Abaixo está um vídeo dos pesquisadores de oligo que demonstram sua técnica de hackers no ar para assumir um orador Bose habilitado para o ar para mostrar o logotipo de sua empresa para o ar. (Os pesquisadores dizem que não pretendem destacar Bose, mas por acaso tinha um dos palestrantes da empresa em mãos para testes.) Bose não respondeu imediatamente ao pedido de comentário da Wired.
O oligo de vulnerabilidades no ar encontrado também afeta o CarPlay, o protocolo de rádio usado para se conectar às interfaces do painel de veículos. OLIGO alerta que isso significa que os hackers podem seqüestrar o computador automotivo de um carro, conhecido como sua unidade principal, em qualquer um dos mais de 800 modelos de carro e caminhão habilitados para CarPlay. Nesses casos específicos de carros, porém, as vulnerabilidades aéreas só poderiam ser exploradas se o hacker puder emparelhar seu próprio dispositivo com a unidade principal via Bluetooth ou uma conexão USB, o que restringe drasticamente a ameaça de hackers de veículos baseados em CarPlay.
As falhas do AirPlay SDK nos dispositivos de mídia doméstica, por outro lado, podem apresentar uma vulnerabilidade mais prática para hackers que procuram se esconder em uma rede, instalando ransomware ou realizam espionagem furtiva, enquanto se escondem em dispositivos que são frequentemente esquecidos por consumidores e defensores de redes corporativas ou governamentais. “A quantidade de dispositivos vulneráveis a esses problemas, é isso que me alarma”, diz Uri Katz, pesquisador de oligo. “Quando foi a última vez que você atualizou seu alto -falante?”
Os pesquisadores originalmente começaram a pensar nessa propriedade do AirPlay e, finalmente, descobriram as vulnerabilidades aéreas, enquanto trabalhavam em um projeto diferente, analisando vulnerabilidades que poderiam permitir que um invasor acesse serviços internos em execução na rede local de um alvo a partir de um site malicioso. Nessa pesquisa anterior, os hackers da OLIGO descobriram que poderiam derrotar as proteções fundamentais assadas em todos os navegadores da web destinados a impedir que sites tenham esse tipo de acesso invasivo nas redes internas de outras pessoas.
Enquanto brincavam com sua descoberta, os pesquisadores perceberam que um dos serviços que eles podiam acessar explorando os bugs sem autorização nos sistemas de um alvo era o AirPlay. A colheita de vulnerabilidades no ar revelada hoje não está conectada ao trabalho anterior, mas foi inspirado pelas propriedades do AirPlay como um serviço construído para sentar -se e prontos para novas conexões.
E o fato de os pesquisadores terem encontrado falhas no SDK do AirPlay significa que as vulnerabilidades estão à espreita em centenas de modelos de dispositivos – e possivelmente mais, dado que alguns fabricantes incorporam o AirPlay SDK sem notificar a Apple e se tornar dispositivos de airplay “certificados”.
“Quando os fabricantes de terceiros integram tecnologias da Apple como o AirPlay por meio de um SDK, obviamente a Apple não tem mais controle direto sobre o hardware ou o processo de patch”, diz Patrick Wardle, CEO da empresa de segurança focada no dispositivo da Apple, Doubleyou. “Como resultado, quando surgem vulnerabilidades e fornecedores de terceiros não atualizam seus produtos imediatamente-ou nada-, isso não apenas coloca os usuários em risco, mas também pode corroer a confiança no ecossistema mais amplo da Apple”.
Atualizado às 10h ET, 29 de abril de 2024: esclareceu que o logotipo no vídeo de Oligo é para o ar, não a própria empresa.
