Enhet Apple AIRTAG, designad för att kopplas till alla möjliga saker för senare hämtning i händelse av förlust, gör det enkelt att hänvisa medborgaren som hittar den till en webbplats som är utformad för att stjäla iCloud-inloggningsuppgifter eller ladda ner godtycklig skadlig kod till en smartphone.
Till en början antog man att en enhet för vilken ägaren hade aktiverat det så kallade "Lost Mode" kunde skannas med en iOS-smartphone eller Android, varefter användaren kan se värdens kontakttelefonnummer. Som det visar sig kan den här funktionen lätt leda till en nätfiskesida eller någon annan skadlig webbplats.
Aktivering av "Lost Mode" genererar en unik URL på den hittade domänen.apple.com och låter ägaren ange ett personligt meddelande till personen som hittade enheten och ett kontaktnummer.
Efter genomsökningen bör den personen helst se ett kort meddelande som uppmanar dem att ringa. För att se information behöver du inte ange dina personuppgifter eller logga in på iCloud, men det är inte alla som vet om detta. Dessutom kan AirTag-ägaren ange valfri kod i telefonnummerfältet.
Sårbarheten upptäcktes av den Boston-baserade informationssäkerhetsexperten Bobby Rauch, som kontaktade Apple i hopp om en belöning från företaget för upptäckta sårbarheter för ganska länge sedan. Företaget svarade att de skulle eliminera det i en ny mjukvaruuppdatering och bad att inte sprida budskapet om det upptäckta problemet. Det är känt att programmet Apple ger betalningar på upp till en miljon dollar för upptäckta sårbarheter, men för relevanta frågor i Apple avböjde och sa: "Vi skulle uppskatta det om du inte pratade om sårbarheten."
Som KrebsonSecurity-portalen rapporterar, klagomål om "okänslighet" Apple visas inte för första gången. Företaget anklagas för långsam eliminering av sårbarheter och det faktum att det inte alltid betalar ut belöningar för deras upptäckt, och inte heller svarar alls på rapporter om fel och problem i säkerhetssystemet. Samtidigt finns det i "mörknätet" många som är villiga att betala rejäla och betydande summor till dem som hittar möjliga kryphål. Det finns dock en stor risk att specialister, utan att vänta på feedback och uppmuntran, helt enkelt publicerar information i fri tillgång - sådana fall har redan ägt rum.
Läs också: