Пристрій Apple AirTag, призначений для кріплення на всілякі речі для подальшого пошуку в разі втрати, дозволяє легко направити громадянина, який його знайшов на сайт, призначений для крадіжки даних для входу в iCloud або завантаження на смартфон довільного шкідливого коду.
Спочатку передбачалося, що пристрій, для якого власник активував так званий «Режим пропажі», можна відсканувати за допомогою смартфона на iOS або Android, після чого користувач може побачити номер контактного телефону господаря. Як з’ясувалося, ця функція здатна легко привести на фішингову сторінку або будь-який інший шкідливий сайт.
Включення «Режиму пропажі» генерує унікальний URL на домені found.apple.com і дозволяє власнику ввести персональне повідомлення для людини, яка знайшла пристрій і контактний номер телефону.
Після сканування ця людина, в ідеалі, повинна побачити коротке повідомлення із закликом зателефонувати. Для перегляду інформації не потрібно вводити власні дані або входити в iCloud, але далеко не всім про це відомо. Більш того, в поле телефонного номера власник AirTag може вносити довільний код.
Уразливість була виявлена бостонським експертом з інформаційної безпеки Боббі Раухом, після чого той зв’язався з Apple в надії на нагороду, досить давно запропоновану компанією за виявлені вразливості. У компанії відповіли, що усунуть її в новому оновленні ПЗ і попросили не розповсюджуватися про виявлену проблему. Відомо, що програма Apple передбачає виплати до мільйона доларів за знайдені вразливості, але на відповідні питання в Apple відмовчувалися, відповівши: «Ми будемо вдячні, якщо ви не будете розповідати про уразливість».
Як повідомляє портал KrebsonSecurity, скарги на «нечуйність» Apple з’являються не вперше. Компанію звинувачують в повільному усуненні вразливостей і тому, що та далеко не завжди платить винагороди за їх виявлення, а також і зовсім не відповідає на повідомлення про помилки та проблеми в системі безпеки. При цьому в «даркнеті» існує чимало бажаючих заплатити реальні і значні суми тим, хто знайде можливі лазівки. Втім, високий ризик того, що фахівці, не дочекавшись зворотного зв’язку і заохочення, просто публікуватимуть інформацію у вільному доступі – такі випадки вже також мали місце.
Читайте також: