Уред Apple Airtag, дизајниран да биде прикачен на секакви работи за подоцнежно пронаоѓање во случај на загуба, го олеснува насочувањето на граѓанинот што ќе го најде на страница дизајнирана да ги украде ингеренциите за најавување на iCloud или да преземе произволен злонамерен код на паметен телефон.
Првично, се претпоставуваше дека уредот за кој сопственикот го активирал таканаречениот „Изгубен режим“ може да се скенира со помош на паметен телефон iOS или Android, по што корисникот може да го види телефонскиот број за контакт на домаќинот. Како што се испостави, оваа функција лесно може да доведе до страница за фишинг или која било друга злонамерна локација.
Овозможувањето на „Изгубен режим“ генерира единствена URL на пронајдениот домен.apple.com и му дозволува на сопственикот да внесе лична порака за лицето кое го нашло уредот и телефонски број за контакт.
По скенирањето, таа личност идеално би требало да види кратка порака во која се повикува да се јави. За да видите информации, не треба да ги внесувате вашите лични податоци или да се најавувате на iCloud, но не секој знае за ова. Покрај тоа, сопственикот на AirTag може да внесе кој било код во полето за телефонски број.
Ранливоста ја откри експертот за информациска безбедност од Бостон, Боби Рауч, кој контактираше Apple со надеж за награда понудена од компанијата за откриените пропусти пред доста време. Компанијата одговори дека ќе го елиминира со ново ажурирање на софтверот и побара да не се шири веста за откриениот проблем. Познато е дека програмата Apple предвидува плаќања до милион долари за пронајдени пропусти, но за релевантни прашања во Apple одби, велејќи: „Би ценеле ако не зборувате за ранливоста“.
Како што пренесува порталот KrebsonSecurity, поплаки за „нечувствителност“ Apple се појавуваат не за прв пат. Компанијата е обвинета за бавно отстранување на пропустите и за тоа што не секогаш плаќа награди за нивно откривање, а исто така воопшто не реагира на извештаите за грешки и проблеми во безбедносниот систем. Во исто време, во „темната мрежа“ има многу спремни да платат реални и значителни суми на оние кои ќе најдат можни дупки. Сепак, постои голем ризик специјалистите, без да чекаат повратни информации и охрабрување, едноставно да објават информации во слободен пристап - такви случаи веќе се случија.
Прочитајте исто така: