Uređaj Apple Airtag, dizajniran da bude prikačen na sve vrste stvari radi kasnijeg pronalaženja u slučaju gubitka, olakšava usmjeravanje građanina koji ga pronađe na web lokaciju dizajniranu za krađu iCloud vjerodajnica ili preuzimanje proizvoljnog zlonamjernog koda na pametni telefon.
Prvobitno se pretpostavljalo da se uređaj za koji je vlasnik aktivirao takozvani "Lost Mode" može skenirati iOS pametnim telefonom ili Android, nakon čega korisnik može vidjeti kontakt telefon domaćina. Kako se pokazalo, ova funkcija može lako dovesti do phishing stranice ili bilo koje druge zlonamjerne stranice.
Omogućavanje "Lost Mode" generiše jedinstveni URL na pronađenoj domeni.apple.com i omogućava vlasniku da unese ličnu poruku za osobu koja je pronašla uređaj i broj telefona za kontakt.
Nakon skeniranja, ta osoba bi u idealnom slučaju trebala vidjeti kratku poruku koja je poziva da nazove. Da biste vidjeli informacije, ne morate unijeti svoje lične podatke ili se prijaviti na iCloud, ali ne znaju svi za to. Osim toga, vlasnik AirTag-a može unijeti bilo koji kod u polje za broj telefona.
Ranjivost je otkrio stručnjak za informacijsku sigurnost Bobby Rauch iz Bostona, koji je kontaktirao Apple u nadi da će kompanija ponuditi nagradu za otkrivene ranjivosti prije dosta vremena. Kompanija je odgovorila da će to eliminisati u novom ažuriranju softvera i zamolila da se ne širi vijest o otkrivenom problemu. Poznato je da program Apple predviđa isplate do milion dolara za pronađene ranjivosti, ali za relevantna pitanja u Apple je odbio, rekavši: "Bili bismo zahvalni da ne govorite o ranjivosti."
Kako prenosi portal KrebsonSecurity, pritužbe na "neosjetljivost" Apple ne pojavljuju se prvi put. Kompanija je optužena za sporo otklanjanje ranjivosti i činjenicu da ne plaća uvijek nagrade za njihovo otkrivanje, a također ne reaguje uopće na prijave grešaka i problema u sigurnosnom sistemu. Istovremeno, u "darknetu" ima mnogo spremnih da plate stvarne i značajne sume onima koji pronađu moguće rupe. Međutim, postoji veliki rizik da će stručnjaci, bez čekanja na povratnu informaciju i ohrabrenje, jednostavno objaviti informacije u slobodnom pristupu - takvi slučajevi su se već dogodili.
Pročitajte također: