Enhed Apple AIRTAG, designet til at blive knyttet til alle mulige ting til senere hentning i tilfælde af tab, gør det nemt at dirigere borgeren, der finder det, til et websted, der er designet til at stjæle iCloud-loginoplysninger eller downloade vilkårlig ondsindet kode til en smartphone.
I første omgang blev det antaget, at en enhed, som ejeren havde aktiveret den såkaldte "Lost Mode" for, kunne scannes ved hjælp af en iOS-smartphone eller Android, hvorefter brugeren kan se værtens kontakttelefonnummer. Som det viste sig, kan denne funktion nemt føre til en phishing-side eller ethvert andet ondsindet websted.
Aktivering af "Lost Mode" genererer en unik URL på det fundne domæne.apple.com og giver ejeren mulighed for at indtaste en personlig besked til den person, der fandt enheden, og et kontakttelefonnummer.
Efter scanningen skal denne person ideelt set se en kort besked, der opfordrer dem til at ringe. For at se oplysninger behøver du ikke indtaste dine personlige data eller logge på iCloud, men det er ikke alle, der ved om dette. Desuden kan AirTag-ejeren indtaste en hvilken som helst kode i telefonnummerfeltet.
Sårbarheden blev opdaget af den Boston-baserede informationssikkerhedsekspert Bobby Rauch, som kontaktede Apple i håbet om en belønning tilbudt af virksomheden for opdagede sårbarheder for noget tid siden. Virksomheden svarede, at de ville fjerne det i en ny softwareopdatering og bad om ikke at sprede ordet om det opdagede problem. Det er kendt, at programmet Apple giver mulighed for betalinger på op til en million dollars for fundne sårbarheder, men for relevante spørgsmål i Apple afviste og sagde: "Vi ville sætte pris på det, hvis du ikke talte om sårbarheden."
Som KrebsonSecurity-portalen rapporterer, klager over "ufølsomhed" Apple vises ikke for første gang. Virksomheden er anklaget for langsom eliminering af sårbarheder og det faktum, at den ikke altid betaler belønning for deres opdagelse, og heller ikke reagerer overhovedet på rapporter om fejl og problemer i sikkerhedssystemet. Samtidig er der i "mørkenettet" mange villige til at betale reelle og betydelige summer til dem, der finder mulige smuthuller. Der er dog en stor risiko for, at specialister uden at vente på feedback og opmuntring blot vil offentliggøre information i fri adgang - sådanne sager har allerede fundet sted.
Læs også: