חולשה מסוכנת: עשרות מיליוני מכשירים של אפל חשופים לפריצה

חוקרי אבטחה ישראלים חשפו סדרת פגיעויות במערכת התקשורת האלחוטית של טכנולוגיית AirPlay • הפגמים מאפשרים להאקרים להשתלט על רמקולים, טלוויזיות חכמות ומכשירים נוספים • חלקם עלולים לשמש כמכשירי האזנה • אפל: "פרסמנו עדכוני אבטחה למוצרים שלנו"

מנכ"ל אפל, טים קוק, באירוע ה-WWDC . צילום: אי.פי

האתר WIRED פרסם עשרות מיליוני מכשירים חכמים בבתים ובמשרדים ברחבי העולם חשופים לפריצה דרך רשת הוויי-פיי, כך על פי התרעה של חברת אבטחת המידע הישראלית אוליגו (Oligo). החברה חשפה אתמול (שלישי) סדרת פרצות אבטחה במערכת AirPlay של אפל, המכונה "AirBorne", המאפשרת להאקרים להשתלט מרחוק על מגוון רחב של מכשירים.

AirPlay היא טכנולוגיה של אפל המאפשרת למשתמשי אייפון ומחשבי מק להעביר בקלות מוזיקה, תמונות וסרטונים למכשירים אחרים כמו טלוויזיות חכמות ורמקולים. אולם, על פי החוקרים, אותו חיבור אלחוטי נוח עלול לשמש גם פצחנים להפצת קוד זדוני מרחוק.

"מכיוון ש-AirPlay נתמך במגוון רחב כל כך של מכשירים, יש רבים שייקח שנים לתקן — או שלעולם לא יתוקנו", מזהיר גל אלבז, מייסד ומנהל הטכנולוגיות הראשי של אוליגו. "וכל זה בגלל פגיעויות בתוכנה אחת שמשפיעה על כל המערכת".

חנות של אפל (ארכיון). חברה ישראלית איתרה את הפרצה באבטחה, צילום: רויטרס

הפגיעויות התגלו בערכת הפיתוח (SDK) של AirPlay המיועדת ליצרני מכשירים צד שלישי. האקר שמצליח להתחבר לאותה רשת וויי-פיי שאליה מחוברים המכשירים הפגיעים - בין אם על ידי פריצה למחשב אחר ברשת או פשוט על ידי התחברות לאותה רשת ציבורית בבית קפה או בשדה תעופה - יכול להשתלט עליהם בחשאי.

חוקרי אוליגו מסרו לאפל על ממצאיהם כבר בסוף 2024, והחברה הגיבה בחודשים האחרונים בהוצאת עדכוני אבטחה. אפל אף פיתחה תיקונים למכשירי צד שלישי, אך כאן טמונה הבעיה המרכזית: רבים מהמשתמשים לעולם לא יעדכנו את המכשירים הללו.

"מספר המכשירים שהיו פגיעים לבעיות אלה, זה מה שמדאיג אותי", אומר אורי כץ, חוקר באוליגו. "מתי בפעם האחרונה עדכנתם את הרמקול שלכם?"

חברת אוליגו מציינת כי רבים מהמכשירים הפגיעים כוללים מיקרופונים וניתן להפוך אותם למכשירי האזנה לצורכי ריגול. מדובר ברמקולים חכמים, מקלטי טלוויזיה, סטרימרים וטלוויזיות חכמות של יצרנים שונים.

אפל מסרה בתגובה כי קיימות מגבלות להתקפות האפשריות על מכשירים תומכי AirPlay כתוצאה מהחולשות, מכיוון שתוקף חייב להיות באותה רשת וויי-פיי כמו היעד כדי לנצל אותן. החברה הוסיפה כי למרות שקיים מידע מסוים על מכשירים כמו טלוויזיות ורמקולים, הוא בדרך כלל מוגבל מאוד.

View this post on Instagram

A post shared by WIRED (@wired)

הפגיעויות משפיעות גם על CarPlay, הפרוטוקול המשמש לחיבור למערכות המידע והבידור ברכבים. אוליגו מזהירה כי פצחנים עלולים להשתלט על המחשב של הרכב ביותר מ-800 דגמי מכוניות ומשאיות תומכי CarPlay. במקרים אלה, עם זאת, ניתן לנצל את הפגיעויות רק אם התוקף מצליח לצמד את המכשיר שלו ליחידת הרכב דרך בלוטות' או חיבור USB, מה שמגביל משמעותית את האיום.

מומחי אבטחה ממליצים למשתמשים להקפיד על עדכון כל המכשירים החכמים בביתם, במיוחד אלה התומכים ב-AirPlay, ולהימנע מהתחברות לרשתות וויי-פיי ציבוריות לא מאובטחות.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו