فيما يلي مقطع فيديو للباحثين oligo الذي يوضح تقنية القرصنة المحمولة جواً لتولي مكبر صوت Bose الذي يدعم AirPlay لإظهار شعار شركتهم لـ Airborne. (يقول الباحثون إنهم لا ينويون أن يفرطوا في الخروج من Bose ، ولكن صادف أن يكون لديهم أحد متحدثي الشركة في متناول اليد للاختبار.) لم يستجب Bose على الفور لطلب Wired للتعليق.
تؤثر نقاط الضعف المحمولة جواً التي وجدت oligo أيضًا على carplay ، وهو بروتوكول الراديو المستخدم للاتصال بواجهات لوحة القيادة للمركبات. يحذر Oligo من أن هذا يعني أن المتسللين يمكنهم اختطاف جهاز الكمبيوتر للسيارات الخاص بالسيارة ، والمعروف باسم وحدة رأسه ، في أي من أكثر من 800 طرازات للسيارات والشاحنات التي تدعمها CarPlay. في تلك الحالات الخاصة بالسيارة ، على الرغم من ذلك ، لا يمكن استغلال نقاط الضعف المحمولة جواً إلا إذا كان المتسلل قادرًا على إقران أجهزته الخاصة مع وحدة الرأس عبر Bluetooth أو اتصال USB ، والذي يقيد بشكل كبير تهديد اختراق السيارة القائم على كاربلاي.
وعلى النقيض من ذلك ، قد تقدم عيوب AirPlay SDK في أجهزة الوسائط المنزلية ثغرة أمنية أكثر عملية للمتسللين الذين يسعون إلى الاختباء على شبكة ، سواء لتثبيت برامج الفدية أو تنفيذ التجسس الخفي ، كل ذلك أثناء إخفاء الأجهزة التي يتم نسيانها غالبًا من قبل المستهلكين والمستهلكين أو الشبكة الحكومية. يقول أوليغو باحث أوري كاتز: “كمية الأجهزة التي كانت عرضة لهذه القضايا ، وهذا ما يقلقني”. “متى كانت آخر مرة قمت فيها بتحديث مكبر الصوت الخاص بك؟”
بدأ الباحثون في الأصل التفكير في هذه الخاصية من AirPlay ، واكتشفوا في نهاية المطاف نقاط الضعف المحمولة جواً ، مع العمل في مشروع مختلف لتحليل نقاط الضعف التي يمكن أن تسمح للمهاجم بالوصول إلى الخدمات الداخلية التي تعمل على شبكة محلية للهدف من موقع ويب ضار. في هذا البحث السابق ، وجد المتسللون في Oligo أنه يمكنهم هزيمة الحماية الأساسية المخبوزة في كل متصفح ويب يهدف إلى منع مواقع الويب من وجود هذا النوع من الوصول الغازي على الشبكات الداخلية للأشخاص الآخرين.
أثناء اللعب باكتشافهم ، أدرك الباحثون أن إحدى الخدمات التي يمكنهم الوصول إليها من خلال استغلال الأخطاء دون إذن أنظمة الهدف كانت البث. إن محصول نقاط الضعف المحمولة جواً التي تم الكشف عنها اليوم غير مرتبط بالعمل السابق ، ولكنه مستوحى من خصائص AirPlay كخدمة تم تصميمها للجلوس مفتوحة وعلى استعداد للاتصالات الجديدة.
وحقيقة أن الباحثين عثروا على عيوب في Airplay SDK تعني أن نقاط الضعف تتربص في مئات النماذج من الأجهزة – وربما أكثر ، بالنظر إلى أن بعض الشركات المصنعة تتضمن SDK Airplay دون إخطار Apple وتصبح أجهزة Airplay “معتمدة”.
يقول باتريك واردل ، الرئيس التنفيذي لشركة أمن Apple Doubleyou: “عندما يقوم مصنعو الطرف الثالث بدمج تقنيات Apple مثل AirPlay عبر SDK ، من الواضح أن Apple لم تعد تتحكم مباشرة في الأجهزة أو عملية الترقيع”. “ونتيجة لذلك ، عندما تنشأ نقاط الضعف ويفشل بائعو الطرف الثالث في تحديث منتجاتهم على الفور-أو على الإطلاق-فإنه لا يعرض المستخدمين للخطر فحسب ، بل يمكنهم أيضًا تآكل الثقة في النظام البيئي الأوسع في Apple.”
تم تحديثه 10 صباحًا بالتوقيت الشرقي ، 29 أبريل 2024: أوضح أن الشعار في فيديو Oligo مخصص لـ Airborne ، وليس الشركة نفسها.
