Naprava Apple Airtag, ki je zasnovan tako, da se pripne vsem vrstam stvari za kasnejšo pridobitev v primeru izgube, omogoča preprosto usmeritev državljana, ki ga najde, na spletno mesto, namenjeno kraji poverilnic za prijavo v iCloud ali prenosu poljubne zlonamerne kode na pametni telefon.
Sprva se je domnevalo, da je napravo, za katero ima lastnik aktiviran tako imenovani »Lost Mode«, mogoče skenirati s pametnim telefonom iOS oz. Android, nato pa lahko uporabnik vidi kontaktno telefonsko številko gostitelja. Izkazalo se je, da lahko ta funkcija zlahka vodi do strani z lažnim predstavljanjem ali katerega koli drugega zlonamernega mesta.
Če omogočite "izgubljeni način", ustvarite edinstven URL na najdeni domeni.apple.com in lastniku omogoča vnos osebnega sporočila osebe, ki je napravo našla, in kontaktne telefonske številke.
Po skeniranju bi morala ta oseba videti kratko sporočilo, ki jo poziva, naj pokliče. Za ogled informacij vam ni treba vnesti osebnih podatkov ali se prijaviti v iCloud, vendar tega ne vedo vsi. Poleg tega lahko lastnik AirTag vnese katero koli kodo v polje telefonske številke.
Ranljivost je odkril strokovnjak za informacijsko varnost iz Bostona Bobby Rauch, ki je stopil v stik Apple v upanju na nagrado, ki jo je podjetje ponudilo za odkrite ranljivosti že pred časom. Podjetje je odgovorilo, da ga bodo odpravili v novi posodobitvi programske opreme in pozvalo, naj o odkriti težavi ne razglašajo. Znano je, da program Apple predvideva plačila do milijona dolarjev za najdene ranljivosti, a za ustrezna vprašanja v Apple zavrnil z besedami: "Cenili bi, če ne bi govorili o ranljivosti."
Kot poroča portal KrebsonSecurity, so pritožbe o "neobčutljivosti" Apple ne pojavljajo prvič. Podjetju očitajo počasno odpravljanje ranljivosti in dejstvo, da za njihovo odkrivanje ne plačuje vedno nagrad, prav tako se sploh ne odziva na prijave napak in težav v varnostnem sistemu. Hkrati je v »darknetu« veliko pripravljenih plačati realne in precejšnje zneske tistim, ki najdejo morebitne zanke. Vendar pa obstaja velika nevarnost, da bodo strokovnjaki, ne da bi čakali na povratne informacije in spodbudo, preprosto objavili informacije v prostem dostopu - takšni primeri so se že zgodili.
Preberite tudi: