Enhet Apple AIRTAG, designet for å festes til alle slags ting for senere henting i tilfelle tap, gjør det enkelt å henvise innbyggeren som finner det til et nettsted som er utviklet for å stjele iCloud-påloggingsinformasjon eller laste ned vilkårlig ondsinnet kode til en smarttelefon.
I utgangspunktet ble det antatt at en enhet som eieren hadde aktivert den såkalte «Lost Mode» for kunne skannes ved hjelp av en iOS-smarttelefon eller Android, hvoretter brukeren kan se vertens kontakttelefonnummer. Som det viser seg, kan denne funksjonen lett føre til en phishing-side eller et annet skadelig nettsted.
Aktivering av "Lost Mode" genererer en unik URL på domenet som ble funnet.apple.com og lar eieren legge inn en personlig melding til personen som fant enheten og et kontakttelefonnummer.
Etter skanningen bør den personen ideelt sett se en kort melding som oppfordrer dem til å ringe. For å se informasjon trenger du ikke skrive inn dine personlige data eller logge på iCloud, men ikke alle vet om dette. I tillegg kan AirTag-eieren skrive inn hvilken som helst kode i telefonnummerfeltet.
Sårbarheten ble oppdaget av den Boston-baserte informasjonssikkerhetseksperten Bobby Rauch, som tok kontakt Apple i håp om en belønning fra selskapet for oppdagede sårbarheter for en stund siden. Selskapet svarte at de ville eliminere det i en ny programvareoppdatering og ba om å ikke spre ordet om det oppdagede problemet. Det er kjent at programmet Apple sørger for betalinger på opptil en million dollar for funnet sårbarheter, men for relevante spørsmål i Apple avviste og sa: "Vi ville sette pris på det hvis du ikke snakket om sårbarheten."
Som KrebsonSecurity-portalen rapporterer, klager på "ufølsomhet" Apple vises ikke for første gang. Selskapet er anklaget for langsom eliminering av sårbarheter og det faktum at det ikke alltid betaler belønning for deres oppdagelse, og heller ikke reagerer i det hele tatt på rapporter om feil og problemer i sikkerhetssystemet. Samtidig er det i «mørkenettet» mange som er villige til å betale reelle og betydelige summer til de som finner mulige smutthull. Det er imidlertid stor risiko for at spesialister, uten å vente på tilbakemelding og oppmuntring, rett og slett publiserer informasjon i fri tilgang – slike saker har allerede funnet sted.
Les også: