دستگاه Apple Airtagطراحی شده برای اتصال به انواع چیزها برای بازیابی بعدی در صورت مفقود شدن، هدایت شهروندانی که آن را پیدا می کند به سایتی که برای سرقت اطلاعات ورود به سیستم iCloud یا دانلود کدهای مخرب دلخواه در تلفن هوشمند طراحی شده است را آسان می کند.
در ابتدا، فرض بر این بود که دستگاهی که مالک آن به اصطلاح "حالت گمشده" را برای آن فعال کرده است، می تواند با استفاده از یک گوشی هوشمند iOS یا اسکن شود. Android، پس از آن کاربر می تواند شماره تلفن تماس میزبان را مشاهده کند. همانطور که مشخص است، این ویژگی می تواند به راحتی به یک صفحه فیشینگ یا هر سایت مخرب دیگری منجر شود.
فعال کردن "حالت گم شده" یک URL منحصر به فرد در دامنه پیدا شده ایجاد می کند.apple.com و به مالک اجازه می دهد یک پیام شخصی برای شخصی که دستگاه را پیدا کرده و یک شماره تلفن تماس وارد کند.
پس از اسکن، آن شخص در حالت ایده آل باید یک پیام کوتاه ببیند که از او می خواهد تماس بگیرد. برای مشاهده اطلاعات، نیازی به وارد کردن اطلاعات شخصی یا ورود به iCloud ندارید، اما همه از این موضوع اطلاعی ندارند. علاوه بر این، صاحب AirTag می تواند هر کدی را در قسمت شماره تلفن وارد کند.
این آسیبپذیری توسط بابی راچ، کارشناس امنیت اطلاعات مستقر در بوستون، که با او تماس گرفت، کشف شد Apple به امید پاداشی که این شرکت برای آسیب پذیری های کشف شده مدتی پیش ارائه می کند. این شرکت پاسخ داد که آنها آن را در یک به روز رسانی نرم افزار جدید حذف خواهند کرد و از آن خواستند که در مورد مشکل شناسایی شده اخباری منتشر نشود. معلوم است که برنامه Apple برای آسیب پذیری های یافت شده تا سقف یک میلیون دلار پرداخت می کند، اما برای سؤالات مرتبط در Apple نپذیرفت و گفت: "ما قدردان خواهیم شد اگر در مورد آسیب پذیری صحبت نکنید."
همانطور که پورتال KrebsonSecurity گزارش می دهد، شکایات در مورد "عدم حساسیت" Apple برای اولین بار ظاهر نمی شود این شرکت متهم است که آسیبپذیریها را به کندی از بین میبرد و همیشه پاداشی برای شناسایی آنها پرداخت نمیکند و همچنین به گزارشهای خطا و مشکلات سیستم امنیتی اصلاً پاسخ نمیدهد. در عین حال، در "شبکه تاریک" بسیاری حاضر به پرداخت مبالغ واقعی و قابل توجهی به کسانی هستند که روزنه های احتمالی را پیدا می کنند. با این حال، خطر زیادی وجود دارد که متخصصان، بدون انتظار بازخورد و تشویق، به سادگی اطلاعات را در دسترسی آزاد منتشر کنند - چنین مواردی قبلاً اتفاق افتاده است.
همچنین بخوانید: