2021年4月21日に発売されたAppleの落とし物トラッカー「AirTag」が、セキュリティ研究者によりさっそくハッキングされました。
ドイツ人セキュリティ研究者のStack Smashing氏が、AirTagのマイクロコントローラーをハッキングし、搭載されているソフトウェアを書き換えることに成功したとツイートしています。
Smashing氏によると、2時間にわたる試行錯誤および2つのAirTagを文鎮化したのち、ついにAirTagに搭載されているマイクロコントローラーに侵入することに成功したとのこと。Smashing氏はファームウェアおよびいくつかの重要な領域をダンプすることに成功したと説明しています。
通常、紛失したAirTagをスマートフォンのNFC領域で読み取ると、専用のURLである「found.apple.com」が表示されます。しかし、Smashing氏はハッキングしたAirTag上で、独自のURLを表示することに成功。Smashing氏と同じように悪意のある攻撃者がAirTagをハッキングすれば、フィッシングサイトなどのURLを表示することが可能となります。