устройство Apple AIRTAG, проектиран да бъде прикрепен към всякакви неща за по-късно извличане в случай на загуба, улеснява насочването на гражданина, който го намери, към сайт, предназначен да открадне идентификационни данни за вход в iCloud или да изтегли произволен злонамерен код на смартфон.
Първоначално се предполагаше, че устройство, за което собственикът е активирал така наречения „Lost Mode“, може да бъде сканирано с помощта на iOS смартфон или Android, след което потребителят може да види телефонния номер за контакт на домакина. Както се оказва, тази функция може лесно да доведе до фишинг страница или друг злонамерен сайт.
Активирането на „Изгубен режим“ генерира уникален URL адрес на намерения домейн.apple.com и позволява на собственика да въведе лично съобщение за намерилия устройството и телефон за връзка.
След сканирането този човек в идеалния случай трябва да види кратко съобщение, което го призовава да се обади. За да видите информация, не е необходимо да въвеждате личните си данни или да влизате в iCloud, но не всеки знае за това. Освен това собственикът на AirTag може да въведе произволен код в полето за телефонен номер.
Уязвимостта беше открита от базирания в Бостън експерт по информационна сигурност Боби Раух, който се свърза Apple с надеждата за награда, предложена от компанията за открити преди доста време уязвимости. Компанията отговори, че ще го елиминира в нова софтуерна актуализация и помоли да не се разпространява информация за открития проблем. Известно е, че програмата Apple предвижда плащания до един милион долара за открити уязвимости, но за съответните въпроси в Apple отказа, казвайки: "Ще бъдем благодарни, ако не говорите за уязвимостта."
Както съобщава порталът KrebsonSecurity, оплакванията за "нечувствителност" Apple се появяват не за първи път. Компанията е обвинена в бавно премахване на уязвимостите и факта, че не винаги плаща награди за тяхното откриване, а също така изобщо не реагира на съобщения за грешки и проблеми в системата за сигурност. В същото време в "darknet" има много желаещи да платят реални и значителни суми на тези, които намерят евентуални вратички. Съществува обаче голям риск специалистите, без да чакат обратна връзка и насърчение, просто да публикуват информация в свободен достъп - такива случаи вече са се случвали.
Прочетете също: