Ierīce Apple Airtag, kas paredzēts pievienošanai visdažādākajām lietām, lai tās pazaudēšanas gadījumā vēlāk varētu atgūt, ļauj viegli novirzīt pilsoni, kurš to atrod, uz vietni, kas paredzēta iCloud pieteikšanās akreditācijas datu nozagšanai vai patvaļīga ļaunprātīga koda lejupielādei viedtālrunī.
Sākotnēji tika pieļauts, ka ierīci, kurai īpašnieks aktivizējis tā saukto "Lost Mode", var skenēt, izmantojot iOS viedtālruni vai Android, pēc kura lietotājs var redzēt saimnieka kontakttālruņa numuru. Kā izrādās, šī funkcija var viegli novest pie pikšķerēšanas lapas vai jebkuras citas ļaunprātīgas vietnes.
Iespējojot "Pazaudēto režīmu", atrastajā domēnā tiek ģenerēts unikāls URL.apple.com un ļauj īpašniekam ievadīt personisku ziņojumu personai, kura atrada ierīci, un kontakttālruņa numuru.
Pēc skenēšanas šai personai ideālā gadījumā vajadzētu redzēt īsu ziņojumu, kas mudina viņu zvanīt. Lai skatītu informāciju, jums nav jāievada savi personas dati vai jāpiesakās iCloud, taču ne visi par to zina. Turklāt AirTag īpašnieks tālruņa numura laukā var ievadīt jebkuru kodu.
Ievainojamību atklāja Bostonas informācijas drošības eksperts Bobijs Raučs, kurš sazinājās Apple cerot uz atlīdzību, ko uzņēmums piedāvāja par pirms diezgan sen atklātām ievainojamībām. Uzņēmums atbildēja, ka to novērsīs jaunā programmatūras atjauninājumā, un lūdza neizplatīt informāciju par atklāto problēmu. Ir zināms, ka programma Apple paredz maksājumus līdz miljonam dolāru par atrastajām ievainojamībām, bet par attiecīgiem jautājumiem in Apple atteicās, sakot: "Mēs būtu pateicīgi, ja jūs nerunātu par ievainojamību."
Kā ziņo portāls KrebsonSecurity, sūdzības par "nejutīgumu" Apple parādās ne pirmo reizi. Uzņēmums tiek apsūdzēts par lēnu ievainojamību novēršanu un to, ka tas ne vienmēr maksā atlīdzību par to atklāšanu, kā arī vispār nereaģē uz ziņojumiem par kļūdām un problēmām drošības sistēmā. Tajā pašā laikā "tumšajā tīklā" ir daudzi gatavi maksāt reālas un nozīmīgas summas tiem, kas atrod iespējamās nepilnības. Taču pastāv liels risks, ka speciālisti, negaidot atsauksmes un pamudinājumus, vienkārši publicēs informāciju brīvpiekļuvē – tādi gadījumi jau ir bijuši.
Lasi arī: