Apple: Κενά ασφαλείας στο AirPlay επιτρέπουν σε χάκερς πρόσβαση σε εκατομμύρια συσκευές

Ερευνητές ασφαλείας από την εταιρεία Oligo αποκάλυψαν κενά ασφαλείας στο πρωτόκολλο AirPlay της Apple, που θα μπορούσαν να επιτρέψουν σε χάκερς να αποκτήσουν πρόσβαση σε συσκευές τρίτων κατασκευαστών και να διαδώσουν κακόβουλο λογισμικό μέσα σε δίκτυα.

Τα συγκεκριμένα κενά ασφαλείας, που ονομάζονται στο σύνολό τους “AirBorne”, επηρεάζουν το SDK (Software Development Kit) του AirPlay που χρησιμοποιείται από τρίτους κατασκευαστές για ηχεία, δέκτες, αποκωδικοποιητές και έξυπνες τηλεοράσεις. Σύμφωνα με την έρευνα, οι χάκερς θα μπορούσαν να καταλάβουν τον έλεγχο αυτών των συσκευών εάν βρίσκονται στο ίδιο δίκτυο Wi-Fi με το θύμα.

Ο Gal Elbaz, συνιδρυτής και επικεφαλής τεχνολογίας της Oligo, εκτιμά ότι δεκάδες εκατομμύρια συσκευές τρίτων κατασκευαστών που υποστηρίζουν AirPlay είναι πιθανώς ευάλωτες. “Επειδή το AirPlay υποστηρίζεται σε τόσο μεγάλη ποικιλία συσκευών, υπάρχουν πολλές που θα χρειαστούν χρόνια για να ενημερωθούν – ή δεν θα ενημερωθούν ποτέ”, δήλωσε ο Elbaz.

Οι ερευνητές ειδοποίησαν την Apple για τα ευρήματά τους στα τέλη του περασμένου έτους, και η εταιρεία ανταποκρίθηκε κυκλοφορώντας ενημερώσεις ασφαλείας τους τελευταίους μήνες. Ωστόσο, η Oligo προειδοποιεί ότι πολλές συσκευές τρίτων κατασκευαστών πιθανότατα θα παραμείνουν ευάλωτες εάν οι χρήστες δεν φροντίσουν να τις ενημερώσουν.

Η Apple δήλωσε στο WIRED ότι έχει δημιουργήσει διορθώσεις που είναι διαθέσιμες για τις επηρεαζόμενες συσκευές τρίτων κατασκευαστών. Η εταιρεία τόνισε ότι υπάρχουν περιορισμοί στις επιθέσεις που θα ήταν δυνατές, καθώς ένας επιτιθέμενος πρέπει να βρίσκεται στο ίδιο δίκτυο Wi-Fi με τον στόχο για να τις εκμεταλλευτεί.

Οι ευπάθειες AirBorne επηρεάζουν επίσης το CarPlay, το πρωτόκολλο που χρησιμοποιείται για σύνδεση με τα συστήματα πληροφόρησης και ψυχαγωγίας των οχημάτων. Η Oligo προειδοποιεί ότι αυτό σημαίνει πως οι χάκερς θα μπορούσαν να καταλάβουν τον έλεγχο της κεντρικής μονάδας υπολογιστή ενός αυτοκινήτου σε περισσότερα από 800 μοντέλα αυτοκινήτων και φορτηγών με υποστήριξη CarPlay. Ωστόσο, σε αυτές τις περιπτώσεις, οι ευπάθειες θα μπορούσαν να αξιοποιηθούν μόνο αν ο χάκερ καταφέρει να συνδέσει τη δική του συσκευή με τη μονάδα μέσω Bluetooth ή σύνδεσης USB.

Η απειλή για τις οικιακές συσκευές πολυμέσων παρουσιάζει μεγαλύτερο πρακτικό κίνδυνο για τους χάκερς που επιδιώκουν να κρυφτούν σε ένα δίκτυο, είτε για να εγκαταστήσουν λογισμικό ransomware είτε για να διεξάγουν κατασκοπεία, κρυμμένοι σε συσκευές που συχνά ξεχνιούνται τόσο από τους καταναλωτές όσο και από τους υπεύθυνους ασφάλειας εταιρικών ή κυβερνητικών δικτύων.

“Ο αριθμός των συσκευών που ήταν ευάλωτες σε αυτά τα προβλήματα, αυτό είναι που με ανησυχεί”, δήλωσε ο ερευνητής της Oligo, Uri Katz. “Πότε ήταν η τελευταία φορά που ενημερώσατε το ηχείο σας;”

Ο Patrick Wardle, διευθύνων σύμβουλος της εταιρείας ασφάλειας DoubleYou που εστιάζει σε συσκευές Apple, σημείωσε: “Όταν οι κατασκευαστές τρίτων ενσωματώνουν τεχνολογίες της Apple όπως το AirPlay μέσω ενός SDK, προφανώς η Apple δεν έχει πλέον άμεσο έλεγχο στο hardware ή στη διαδικασία ενημέρωσης. Ως αποτέλεσμα, όταν προκύπτουν ευπάθειες και οι πωλητές τρίτων δεν ενημερώνουν τα προϊόντα τους έγκαιρα – ή καθόλου – όχι μόνο θέτει τους χρήστες σε κίνδυνο, αλλά θα μπορούσε επίσης να διαβρώσει την εμπιστοσύνη στο ευρύτερο οικοσύστημα της Apple.”