Perangkat Apple tanda air, dirancang untuk dilampirkan ke segala macam hal untuk pengambilan nanti jika terjadi kehilangan, memudahkan untuk mengarahkan warga yang menemukannya ke situs yang dirancang untuk mencuri kredensial masuk iCloud atau mengunduh kode berbahaya sewenang-wenang ke ponsel cerdas.
Awalnya, diasumsikan bahwa perangkat yang pemiliknya telah mengaktifkan apa yang disebut "Mode Hilang" dapat dipindai menggunakan ponsel pintar iOS atau Android, setelah itu pengguna dapat melihat nomor telepon kontak host. Ternyata, fitur ini dapat dengan mudah mengarah ke halaman phishing atau situs berbahaya lainnya.
Mengaktifkan "Mode Hilang" menghasilkan URL unik di domain yang ditemukan.apple.com dan memungkinkan pemilik memasukkan pesan pribadi untuk orang yang menemukan perangkat dan nomor telepon kontak.
Setelah pemindaian, idealnya orang tersebut akan melihat pesan singkat yang mendesak mereka untuk menelepon. Untuk melihat informasi, Anda tidak perlu memasukkan data pribadi atau masuk ke iCloud, tetapi tidak semua orang mengetahuinya. Apalagi pemilik AirTag bisa memasukkan kode apapun di kolom nomor telepon.
Kerentanan tersebut ditemukan oleh pakar keamanan informasi yang berbasis di Boston, Bobby Rauch, yang menghubungi Apple dengan harapan hadiah yang ditawarkan oleh perusahaan untuk kerentanan yang ditemukan beberapa waktu lalu. Perusahaan menjawab bahwa mereka akan menghilangkannya dalam pembaruan perangkat lunak baru dan meminta untuk tidak menyebarkan berita tentang masalah yang terdeteksi. Diketahui bahwa program tersebut Apple menyediakan pembayaran hingga satu juta dolar untuk kerentanan yang ditemukan, tetapi untuk pertanyaan yang relevan di Apple menolak, mengatakan, "Kami akan sangat menghargai jika Anda tidak berbicara tentang kerentanan."
Seperti yang dilaporkan portal KrebsonSecurity, keluhan tentang "ketidakpekaan" Apple muncul bukan untuk pertama kalinya. Perusahaan dituduh lambat menghilangkan kerentanan dan fakta bahwa itu tidak selalu membayar penghargaan untuk deteksi mereka, dan juga tidak menanggapi sama sekali laporan kesalahan dan masalah dalam sistem keamanan. Pada saat yang sama, di "darknet" ada banyak orang yang bersedia membayar jumlah yang nyata dan signifikan kepada mereka yang menemukan kemungkinan celah. Namun, ada risiko tinggi bahwa para ahli, tanpa menunggu umpan balik dan dorongan, hanya akan mempublikasikan informasi dalam akses bebas - kasus seperti itu sudah terjadi.
Baca juga: