.
OLIGO também observa que muitos dos dispositivos vulneráveis têm microfones e podem ser transformados em dispositivos de escuta para espionagem. Os pesquisadores não chegaram ao ponto de criar malware de prova de conceito para qualquer alvo específico que demonstre esse truque.
OLIGO diz que alertou a Apple sobre suas descobertas no ar no final do outono e inverno do ano passado, e a Apple respondeu nos meses desde então, empurrando as atualizações de segurança. Os pesquisadores colaboraram com a Apple para testar e validar as correções para Macs e outros produtos da Apple.
A Apple diz à Wired que também criou patches disponíveis para dispositivos de terceiros impactados. A empresa enfatiza, no entanto, que existem limitações para os ataques que seriam possíveis em dispositivos habilitados para aeroplay como resultado dos bugs, porque um invasor deve estar na mesma rede Wi-Fi que um alvo para explorá-los. A Apple acrescenta que, embora haja potencialmente alguns dados do usuário em dispositivos como TVs e alto -falantes, geralmente é muito limitado.
Abaixo está um vídeo dos pesquisadores de oligo que demonstram sua técnica de hackers no ar para assumir um orador Bose habilitado para o ar para mostrar o logotipo de sua empresa para o ar. (Os pesquisadores dizem que não pretendem destacar Bose, mas por acaso tinha um dos palestrantes da empresa em mãos para testes.) Bose não respondeu imediatamente ao pedido de comentário da Wired.
Demonstração do orador. Cortesia de oligo
O oligo de vulnerabilidades no ar encontrado também afeta o CarPlay, o protocolo de rádio usado para se conectar às interfaces do painel de veículos. OLIGO alerta que isso significa que os hackers podem seqüestrar o computador automotivo de um carro, conhecido como sua unidade principal, em qualquer um dos mais de 800 modelos de carro e caminhão habilitados para CarPlay. Nesses casos específicos de carros, porém, as vulnerabilidades aéreas só poderiam ser exploradas se o hacker puder emparelhar seu próprio dispositivo com a unidade principal via Bluetooth ou uma conexão USB, o que restringe drasticamente a ameaça de hackers de veículos baseados em CarPlay.
As falhas do AirPlay SDK nos dispositivos de mídia doméstica, por outro lado, podem apresentar uma vulnerabilidade mais prática para hackers que procuram se esconder em uma rede, instalando ransomware ou realizam espionagem furtiva, enquanto se escondem em dispositivos que são frequentemente esquecidos por consumidores e defensores de redes corporativas ou governamentais. “A quantidade de dispositivos vulneráveis a esses problemas, é isso que me alarma”, diz Uri Katz, pesquisador de oligo. “Quando foi a última vez que você atualizou seu alto -falante?”
.
