Laite Apple AIRTAG, joka on suunniteltu liitettäväksi kaikenlaisiin asioihin myöhempää hakua varten katoamisen sattuessa, helpottaa sen löytäneen kansalaisen ohjaamista sivustolle, joka on suunniteltu varastamaan iCloud-kirjautumistiedot tai lataamaan mielivaltaista haitallista koodia älypuhelimeen.
Aluksi oletettiin, että laite, jolle omistaja oli aktivoinut ns. Lost Moden, voidaan skannata iOS-älypuhelimella tai Android, jonka jälkeen käyttäjä näkee isännän yhteyshenkilön puhelinnumeron. Kuten kävi ilmi, tämä toiminto voi helposti johtaa tietojenkalastelusivulle tai muulle haitalliselle sivustolle.
"Lost Mode" -tilan käyttöönotto luo yksilöllisen URL-osoitteen löydetylle verkkotunnukselle.apple.com ja antaa omistajalle mahdollisuuden kirjoittaa henkilökohtaisen viestin laitteen löytäneelle henkilölle ja yhteyshenkilön puhelinnumeron.
Skannauksen jälkeen henkilön pitäisi ihannetapauksessa nähdä lyhyt viesti, jossa häntä kehotetaan soittamaan. Tietojen tarkastelemiseksi sinun ei tarvitse syöttää henkilökohtaisia tietojasi tai kirjautua iCloudiin, mutta kaikki eivät tiedä tästä. Lisäksi AirTagin omistaja voi syöttää minkä tahansa koodin puhelinnumerokenttään.
Haavoittuvuuden havaitsi Bostonissa toimiva tietoturva-asiantuntija Bobby Rauch, joka otti yhteyttä Apple yrityksen tarjoaman palkinnon toivossa jo kauan sitten löydetyistä haavoittuvuuksista. Yritys vastasi poistavansa sen uudessa ohjelmistopäivityksessä ja pyysi olemaan levittämättä sanaa tunnistetusta ongelmasta. Tiedetään, että ohjelma Apple sisältää jopa miljoonan dollarin maksut löydetyistä haavoittuvuuksista, mutta asiaan liittyvistä kysymyksistä Apple kieltäytyi sanoen: "Olemme kiitollisia, jos et puhuisi haavoittuvuudesta."
Kuten KrebsonSecurity-portaali raportoi, valitukset "tuntemattomuudesta" Apple ei näy ensimmäistä kertaa. Yritystä syytetään haavoittuvuuksien hitaasta poistamisesta ja siitä, että se ei aina maksa palkkioita niiden havaitsemisesta, eikä myöskään reagoi lainkaan tietoturvajärjestelmän virhe- ja ongelmailmoituksiin. Samaan aikaan "pimeässä verkossa" on monia valmiita maksamaan todellisia ja merkittäviä summia niille, jotka löytävät mahdollisia porsaanreikiä. On kuitenkin olemassa suuri riski, että asiantuntijat, odottamatta palautetta ja rohkaisua, yksinkertaisesti julkaisevat tietoja vapaasti - tällaisia tapauksia on jo tapahtunut.
Lue myös: