デバイス Apple エアタグは、紛失した場合に後で取得できるようにあらゆる種類のものに添付されるように設計されており、iCloud のログイン資格情報を盗んだり、任意の悪意のあるコードをスマートフォンにダウンロードしたりするように設計されたサイトに、それを見つけた市民を簡単に誘導できます。
当初は、所有者がいわゆる「紛失モード」を有効にしたデバイスは、iOS スマートフォンまたはデバイスを使用してスキャンできると想定されていました。 Android, その後、ユーザーはホストの連絡先電話番号を確認できるようになります。結局のところ、この機能はフィッシング ページやその他の悪意のあるサイトに簡単に誘導される可能性があります。
「紛失モード」を有効にすると、見つかったドメインで一意の URL が生成されます。apple.com にアクセスし、所有者はデバイスを見つけた人への個人的なメッセージと連絡先の電話番号を入力できます。
スキャン後、電話をかけるよう促す短いメッセージが表示されるのが理想的です。 情報を表示するには、個人データを入力したり、iCloud にログインしたりする必要はありませんが、誰もがこれを知っているわけではありません。 さらに、AirTag 所有者は、電話番号フィールドに任意のコードを入力できます。
この脆弱性は、ボストンを拠点とする情報セキュリティの専門家である Bobby Rauch によって発見されました。 Apple かなり前に発見された脆弱性に対して会社が提供する報酬を期待して. 同社は、新しいソフトウェアアップデートでそれを排除すると回答し、検出された問題について噂を広めないように求めました. プログラムであることが知られている. Apple 発見された脆弱性に対して最大万ドルの支払いを提供しますが、関連する質問に対しては Apple 「脆弱性について話さなければよかった」と断った.
KrebsonSecurityポータルが報告しているように、「鈍感さ」についての苦情 Apple 初めてではありません。 同社は、脆弱性の排除が遅いこと、および脆弱性の検出に対して常に報酬を支払うとは限らず、セキュリティシステムのエラーや問題の報告にまったく対応していないことで非難されています. 同時に、「ダークネット」には、抜け穴の可能性を見つけた人に、実際に多額の金額を喜んで支払う人がたくさんいます。 ただし、専門家がフィードバックや励ましを待たずに、無料で情報を公開する可能性が高く、そのようなケースはすでに発生しています。
また読む: