Gerät Apple Air-Tag, das zum späteren Abrufen im Falle eines Verlustes an allen möglichen Dingen angebracht werden soll, macht es einfach, den Bürger, der es findet, auf eine Website zu leiten, die darauf ausgelegt ist, iCloud-Anmeldeinformationen zu stehlen oder beliebigen Schadcode auf ein Smartphone herunterzuladen.
Zunächst ging man davon aus, dass ein Gerät, für das der Besitzer den sogenannten „Lost Mode“ aktiviert hatte, mit einem iOS-Smartphone gescannt werden konnte bzw Android, woraufhin der Benutzer die Kontakttelefonnummer des Gastgebers sehen kann. Wie sich herausstellt, kann diese Funktion leicht zu einer Phishing-Seite oder einer anderen bösartigen Website führen.
Durch Aktivieren des „Lost Mode“ wird eine eindeutige URL auf der gefundenen Domain generiert.apple.com und ermöglicht es dem Besitzer, eine persönliche Nachricht für die Person, die das Gerät gefunden hat, und eine Kontakttelefonnummer einzugeben.
Nach dem Scan sollte diese Person idealerweise eine kurze Nachricht sehen, die sie auffordert, anzurufen. Um Informationen anzuzeigen, müssen Sie keine persönlichen Daten eingeben oder sich bei iCloud anmelden, aber nicht jeder weiß davon. Darüber hinaus kann der AirTag-Besitzer einen beliebigen Code in das Telefonnummernfeld eingeben.
Die Schwachstelle wurde von dem in Boston ansässigen Informationssicherheitsexperten Bobby Rauch entdeckt, der Kontakt aufnahm Apple in der Hoffnung auf eine vom Unternehmen ausgeschriebene Belohnung für vor geraumer Zeit entdeckte Schwachstellen. Das Unternehmen antwortete, dass sie es in einem neuen Software-Update beseitigen würden, und bat darum, das erkannte Problem nicht zu verbreiten. Es ist bekannt, dass das Programm Apple sieht Zahlungen von bis zu einer Million Dollar für gefundene Schwachstellen vor, aber für entsprechende Fragen in Apple lehnte ab und sagte: "Wir würden es begrüßen, wenn Sie nicht über die Schwachstelle sprechen würden."
Wie das Portal KrebsonSecurity berichtet, häufen sich Beschwerden über „Unempfindlichkeit“ Apple erscheinen nicht zum ersten Mal. Dem Unternehmen wird die langsame Beseitigung von Schwachstellen vorgeworfen und die Tatsache, dass es nicht immer Belohnungen für deren Entdeckung zahlt und auch überhaupt nicht auf Meldungen von Fehlern und Problemen im Sicherheitssystem reagiert. Gleichzeitig gibt es im "Darknet" viele, die bereit sind, echte und beträchtliche Summen an diejenigen zu zahlen, die mögliche Schlupflöcher finden. Es besteht jedoch ein hohes Risiko, dass Spezialisten, ohne auf Feedback und Ermutigung zu warten, einfach Informationen im freien Zugang veröffentlichen – solche Fälle sind bereits vorgekommen.
Lesen Sie auch: