Eszköz Apple AIRTAG, amelyet úgy terveztek, hogy mindenféle dologhoz csatolják, hogy elvesztés esetén később visszakereshetőek legyenek, és megkönnyíti az azt megtaláló állampolgárt egy olyan webhelyre irányítani, amely az iCloud bejelentkezési adatainak ellopására vagy tetszőleges rosszindulatú kód letöltésére szolgál egy okostelefonra.
Kezdetben azt feltételezték, hogy iOS okostelefonon, ill. Android, amely után a felhasználó láthatja a fogadó kapcsolati telefonszámát. Mint kiderült, ez a funkció könnyen adathalász oldalhoz vagy bármely más rosszindulatú webhelyhez vezethet.
Az „Elveszett mód” engedélyezése egyedi URL-t generál a talált domainen.apple.com, és lehetővé teszi a tulajdonos számára, hogy személyes üzenetet adjon meg annak a személynek, aki megtalálta az eszközt, valamint egy kapcsolati telefonszámot.
A vizsgálat után az adott személynek ideális esetben egy rövid üzenetet kell látnia, amely felszólítja őt, hogy hívja. Az információk megtekintéséhez nem kell megadnia személyes adatait vagy bejelentkeznie az iCloudba, de nem mindenki tud erről. Ezenkívül az AirTag tulajdonosa bármilyen kódot beírhat a telefonszám mezőbe.
A sebezhetőséget a bostoni információbiztonsági szakértő, Bobby Rauch fedezte fel, aki felvette a kapcsolatot Apple abban a reményben, hogy jutalmat kínál a cég a jóval ezelőtt felfedezett sebezhetőségekért. A cég azt válaszolta, hogy egy új szoftverfrissítéssel megszüntetik, és kérte, hogy ne terjesszék az észlelt problémát. Ismeretes, hogy a program Apple legfeljebb egymillió dollár kifizetését írja elő a talált sebezhetőségekért, de a vonatkozó kérdések esetén Apple visszautasította, mondván: "Nagyra értékelnénk, ha nem beszélne a sebezhetőségről."
Amint a KrebsonSecurity portál beszámol, az "érzéketlenségről" szóló panaszok Apple nem először jelenik meg. A céget a sebezhetőségek lassú megszüntetésével és azzal vádolják, hogy nem mindig fizet jutalmat azok felderítéséért, és egyáltalán nem reagál a biztonsági rendszer hibáiról és problémáiról szóló bejelentésekre. Ugyanakkor a "sötéthálóban" sokan hajlandók valódi és jelentős összegeket kifizetni azoknak, akik megtalálják az esetleges kiskapukat. Nagy a kockázata azonban annak, hogy a szakemberek visszajelzésre és bátorításra nem várva egyszerűen szabadon hozzáférhetővé teszik az információkat – előfordultak már ilyen esetek.
Olvassa el még: