Apparaat Apple Luchttag, ontworpen om aan allerlei dingen te worden vastgemaakt om later terug te kunnen worden gevonden in geval van verlies, maakt het gemakkelijk om de burger die het vindt, door te verwijzen naar een site die is ontworpen om iCloud-inloggegevens te stelen of willekeurige kwaadaardige code naar een smartphone te downloaden.
Aanvankelijk werd aangenomen dat een apparaat waarvoor de eigenaar de zogenaamde "Lost Mode" had geactiveerd, kon worden gescand met behulp van een iOS-smartphone of Android, waarna de gebruiker het telefoonnummer van de host kan zien. Het blijkt dat deze functie gemakkelijk kan leiden naar een phishing-pagina of een andere kwaadaardige site.
Het inschakelen van "Lost Mode" genereert een unieke URL op het gevonden domein.apple.com en stelt de eigenaar in staat een persoonlijk bericht in te voeren voor de persoon die het apparaat heeft gevonden en een telefoonnummer voor contact.
Na de scan zou die persoon idealiter een kort bericht moeten zien waarin hij wordt verzocht te bellen. Om informatie te bekijken, hoeft u niet uw persoonlijke gegevens in te voeren of in te loggen op iCloud, maar niet iedereen weet hiervan. Bovendien kan de AirTag-eigenaar elke code in het telefoonnummerveld invoeren.
Het beveiligingslek werd ontdekt door de in Boston gevestigde informatiebeveiligingsexpert Bobby Rauch, die contact opnam met Apple in de hoop op een beloning van het bedrijf voor geruime tijd geleden ontdekte kwetsbaarheden. Het bedrijf antwoordde dat ze het zouden elimineren in een nieuwe software-update en vroeg om het woord over het gedetecteerde probleem niet te verspreiden. Het is bekend dat het programma Apple voorziet in betalingen tot een miljoen dollar voor gevonden kwetsbaarheden, maar voor relevante vragen in Apple weigerde en zei: "We zouden het op prijs stellen als u niet over de kwetsbaarheid zou praten."
Zoals het KrebsonSecurity-portaal meldt, zijn klachten over "ongevoeligheid" Apple verschijnen niet voor de eerste keer. Het bedrijf wordt beschuldigd van langzame eliminatie van kwetsbaarheden en het feit dat het niet altijd beloningen betaalt voor de detectie ervan, en ook helemaal niet reageert op meldingen van fouten en problemen in het beveiligingssysteem. Tegelijkertijd zijn er in het "donkernet" velen bereid om echte en aanzienlijke bedragen te betalen aan degenen die mogelijke mazen in de wet vinden. Er is echter een groot risico dat specialisten, zonder te wachten op feedback en aanmoediging, informatie gewoon vrij toegankelijk zullen publiceren - dergelijke gevallen hebben al plaatsgevonden.
Lees ook: