«Красная тревога» исходит от дешёвого устройства, которое всё ещё может взломать пароль iPhone

Несколько дней назад на iPhone посетителей хакерской конференции в Лас-Вегасе (США) постоянно приходили запросы на подключение к виртуальному Apple TV.

Оказалось, что «Apple TV», который пытались синхронизировать с этими iPhone, был самодельным Bluetooth-устройством стоимостью всего около 70 долларов.

Исполнитель этой шутки, хакер Джей Бохс, объяснил свою идею, которая заключалась в том, чтобы привлечь внимание к серьезной уязвимости, которую, как он надеется, Apple быстро исправит:

«Если пользователь (iPhone) ответит на запрос и если другая сторона будет настроена на убедительный ответ, я думаю, устройство сможет заставить жертву раскрыть различные пароли».

Г-н Бохс также сообщил, что устройство было создано из компонентов общей стоимостью 70 долларов, включая компьютер Raspberry Pi Zero 2W, две антенны, аккумулятор и совместимый с Linux чип Bluetooth.

В основе взлома лежала ненадёжная защита функции BLE (Bluetooth Low Energy), которая позволяет устройствам Apple подключаться друг к другу через Bluetooth.

По словам г-на Бохса, пока вышеуказанная уязвимость не будет полностью устранена, пользователям iPhone и любой другой продукции Apple не следует слишком доверять приложению «Пункт управления».

В частности, чтобы полностью отключить Bluetooth на iPhone, iPad или MacBook, пользователи Apple не могут полагаться на, казалось бы, удобную кнопку-переключатель в Пункте управления, а вместо этого должны открыть Настройки.

Фактически это предотвращает взаимодействие их устройств с другими находящимися поблизости устройствами Bluetooth, такими как поддельные устройства Apple, принадлежащие хакерам.