přístroj Apple Air Tag, navržený tak, aby se dal připevnit k nejrůznějším věcem pro pozdější vyhledání v případě ztráty, usnadňuje nasměrování občana, který jej najde, na stránku určenou ke krádeži přihlašovacích údajů do iCloudu nebo stažení libovolného škodlivého kódu do chytrého telefonu.
Zpočátku se předpokládalo, že zařízení, u kterého měl majitel aktivovaný tzv. „Ztracený režim“, lze naskenovat pomocí chytrého telefonu s iOS resp. Android, po kterém uživatel uvidí kontaktní telefonní číslo hostitele. Jak se ukázalo, tato funkce může snadno vést k phishingové stránce nebo jakékoli jiné škodlivé stránce.
Povolením „režimu ztráty“ se v nalezené doméně vygeneruje jedinečná adresa URL.apple.com a umožňuje vlastníkovi zadat osobní zprávu pro osobu, která zařízení našla, a kontaktní telefonní číslo.
Po skenování by tato osoba měla v ideálním případě vidět krátkou zprávu, která ji vyzývá, aby zavolala. Chcete-li zobrazit informace, nemusíte zadávat své osobní údaje ani se přihlašovat do iCloudu, ale ne každý o tom ví. Majitel AirTag navíc může do pole telefonního čísla zadat libovolný kód.
Zranitelnost objevil bostonský expert na informační bezpečnost Bobby Rauch, který kontaktoval Apple v naději, že společnost nabídne odměnu za objevené zranitelnosti již před nějakou dobou. Společnost odpověděla, že to odstraní v nové aktualizaci softwaru, a požádala, aby nešířila informace o zjištěném problému. Je známo, že program Apple poskytuje platby až do výše milionu dolarů za nalezená zranitelnost, ale za relevantní otázky v Apple odmítl se slovy: "Ocenili bychom, kdybyste nemluvili o zranitelnosti."
Jak uvádí portál KrebsonSecurity, stížnosti na „necitlivost“ Apple se neobjevují poprvé. Firmě je vytýkáno pomalé odstraňování zranitelností a to, že ne vždy vyplácí odměny za jejich odhalení a také vůbec nereaguje na hlášení chyb a problémů v bezpečnostním systému. Přitom v „temné síti“ je mnoho ochotných zaplatit skutečné a značné částky těm, kteří najdou možné mezery. Existuje však vysoké riziko, že specialisté, aniž by čekali na zpětnou vazbu a povzbuzení, jednoduše zveřejní informace ve volném přístupu - takové případy se již staly.
Přečtěte si také: