Cihaz Apple AIRTAG, kaybolması durumunda daha sonra geri almak üzere her türlü şeye iliştirilmek üzere tasarlanmış, onu bulan vatandaşı iCloud oturum açma kimlik bilgilerini çalmak veya bir akıllı telefona rasgele kötü amaçlı kod indirmek için tasarlanmış bir siteye yönlendirmeyi kolaylaştırıyor.
Başlangıçta, sahibinin "Kayıp Modu" olarak adlandırılan özelliği etkinleştirdiği bir cihazın bir iOS akıllı telefon veya Android, bundan sonra kullanıcı toplantı sahibinin iletişim telefon numarasını görebilir. Anlaşıldığı üzere, bu işlev kolayca bir kimlik avı sayfasına veya başka herhangi bir kötü amaçlı siteye yönlendirebilir.
"Kayıp Modu"nun etkinleştirilmesi, bulunan etki alanında benzersiz bir URL oluşturur.apple.com ve sahibinin, cihazı bulan kişi için kişisel bir mesaj ve bir iletişim telefon numarası girmesine izin verir.
Taramadan sonra, o kişi ideal olarak onu aramaya teşvik eden kısa bir mesaj görmelidir. Bilgileri görüntülemek için kişisel verilerinizi girmenize veya iCloud'da oturum açmanıza gerek yoktur, ancak bunu herkes bilmiyor. Üstelik AirTag sahibi telefon numarası alanına dilediği kodu girebilir.
Güvenlik açığı, Boston merkezli bilgi güvenliği uzmanı Bobby Rauch tarafından keşfedildi. Apple şirket tarafından bir süre önce keşfedilen güvenlik açıkları için sunulan bir ödül umuduyla. Şirket, yeni bir yazılım güncellemesinde sorunu ortadan kaldıracaklarını söyledi ve tespit edilen sorunla ilgili haberin yayılmamasını istedi. Bilindiği üzere program Apple bulunan güvenlik açıkları için bir milyon dolara kadar ödeme sağlar, ancak ilgili sorular için Apple "Güvenlik açığından bahsetmezseniz seviniriz" diyerek reddetti.
KrebsonSecurity portalının bildirdiği gibi, "duyarsızlık" ile ilgili şikayetler Apple ilk kez görünmüyor. Şirket, güvenlik açıklarını yavaş yavaş ortadan kaldırmakla ve tespitleri için her zaman ödül ödememekle ve ayrıca güvenlik sistemindeki hata ve sorun raporlarına hiç yanıt vermemekle suçlanıyor. Aynı zamanda, "karanlık ağda" olası boşlukları bulanlara gerçek ve önemli meblağlar ödemeye istekli birçok kişi var. Bununla birlikte, uzmanların geri bildirim ve teşvik beklemeden bilgileri ücretsiz erişimle yayınlamaları gibi yüksek bir risk vardır - bu tür durumlar zaten olmuştur.
Ayrıca okuyun: