Zariadenie Apple AIRTAG, navrhnutý tak, aby sa dal pripevniť k najrôznejším veciam na neskoršie získanie v prípade straty, uľahčuje nasmerovanie občana, ktorý ho nájde, na stránku určenú na odcudzenie prihlasovacích údajov do iCloud alebo stiahnutie ľubovoľného škodlivého kódu do smartfónu.
Pôvodne sa predpokladalo, že zariadenie, pre ktoré mal majiteľ aktivovaný takzvaný „Lost Mode“, sa dá naskenovať pomocou iOS smartfónu resp. Android, po ktorom používateľ uvidí kontaktné telefónne číslo hostiteľa. Ako sa ukázalo, táto funkcia môže ľahko viesť k phishingovej stránke alebo akejkoľvek inej škodlivej stránke.
Povolenie režimu „Stratený režim“ vygeneruje jedinečnú adresu URL v nájdenej doméne.apple.com a umožňuje vlastníkovi zadať osobnú správu pre osobu, ktorá zariadenie našla, a kontaktné telefónne číslo.
Po skenovaní by táto osoba mala v ideálnom prípade vidieť krátku správu, ktorá ju vyzýva, aby zavolala. Ak chcete zobraziť informácie, nemusíte zadávať svoje osobné údaje ani sa prihlásiť do iCloud, ale nie každý o tom vie. Majiteľ AirTag môže navyše do poľa telefónneho čísla zadať ľubovoľný kód.
Zraniteľnosť objavil bostonský expert na informačnú bezpečnosť Bobby Rauch, ktorý kontaktoval Apple v nádeji na odmenu, ktorú spoločnosť ponúkla za objavené zraniteľnosti už dávno. Spoločnosť odpovedala, že to odstráni v novej softvérovej aktualizácii a požiadala, aby nešírila informácie o zistenom probléme. Je známe, že program Apple poskytuje platby až do výšky milióna dolárov za nájdené zraniteľnosti, ale za relevantné otázky v Apple odmietol a povedal: "Ocenili by sme, keby ste nehovorili o zraniteľnosti."
Ako uvádza portál KrebsonSecurity, sťažnosti na „necitlivosť“ Apple sa neobjavujú prvýkrát. Firme vyčítajú pomalé odstraňovanie zraniteľností a to, že nie vždy vypláca odmeny za ich odhalenie a tiež vôbec nereaguje na hlásenia chýb a problémov v bezpečnostnom systéme. Zároveň je v „temnej sieti“ mnoho ochotných zaplatiť skutočné a značné sumy tým, ktorí nájdu možné medzery. Existuje však vysoké riziko, že špecialisti bez čakania na spätnú väzbu a povzbudenie jednoducho zverejnia informácie vo voľnom prístupe - takéto prípady sa už stali.
Prečítajte si tiež: