Įrenginys Apple „AirTag“, sukurtas taip, kad būtų galima prijungti prie įvairiausių dalykų, kad vėliau juos būtų galima atkurti praradus, todėl jį radusį pilietį lengva nukreipti į svetainę, skirtą pavogti „iCloud“ prisijungimo duomenis arba atsisiųsti savavališką kenkėjišką kodą į išmanųjį telefoną.
Iš pradžių buvo manoma, kad įrenginį, kuriam savininkas įjungė vadinamąjį „Lost Mode“, galima nuskaityti naudojant iOS išmanųjį telefoną arba Android, po kurio vartotojas gali matyti šeimininko kontaktinį telefono numerį. Kaip paaiškėjo, ši funkcija gali lengvai nukreipti į sukčiavimo puslapį ar bet kurią kitą kenkėjišką svetainę.
Įjungus „Lost Mode“ sugeneruojamas unikalus URL rastame domene.apple.com ir leidžia savininkui įvesti asmeninę žinutę asmeniui, kuris rado įrenginį, ir kontaktinį telefono numerį.
Po nuskaitymo tas asmuo turėtų pamatyti trumpą pranešimą, raginantį paskambinti. Norėdami peržiūrėti informaciją, jums nereikia įvesti savo asmeninių duomenų ar prisijungti prie „iCloud“, tačiau ne visi apie tai žino. Be to, „AirTag“ savininkas gali įvesti bet kokį kodą telefono numerio laukelyje.
Pažeidžiamumą aptiko Bostone gyvenantis informacijos saugumo ekspertas Bobby Rauchas, kuris susisiekė Apple tikėdamasi atlygio, kurį bendrovė pasiūlė už gana seniai atrastas spragas. Bendrovė atsakė, kad tai pašalins naujame programinės įrangos atnaujinime ir paprašė neskleisti žinios apie aptiktą problemą. Yra žinoma, kad programa Apple numato mokėjimus iki milijono dolerių už rastus pažeidžiamumus, tačiau už atitinkamus klausimus Apple atmetė, sakydamas: „Būtume dėkingi, jei nekalbėtumėte apie pažeidžiamumą“.
Kaip praneša portalas KrebsonSecurity, skundai dėl „nejautrumo“ Apple pasirodo ne pirmą kartą. Bendrovė kaltinama lėtu pažeidžiamumų šalinimu ir tuo, kad už jų aptikimą ne visada moka atlygį, taip pat visiškai nereaguoja į pranešimus apie apsaugos sistemos klaidas ir problemas. Tuo pačiu metu „tamsiame tinkle“ yra daug norinčių mokėti realias ir reikšmingas sumas tiems, kurie randa galimas spragas. Tačiau yra didelė rizika, kad specialistai, nelaukdami atsiliepimų ir paskatinimų, tiesiog paskelbs informaciją laisva prieiga – tokių atvejų jau yra buvę.
Taip pat skaitykite: