Root NationНовиниНовини ITApple AirTag можуть використовуватися для злому і крадіжки даних

Apple AirTag можуть використовуватися для злому і крадіжки даних

-

Пристрій Apple AirTag, призначений для кріплення на всілякі речі для подальшого пошуку в разі втрати, дозволяє легко направити громадянина, який його знайшов на сайт, призначений для крадіжки даних для входу в iCloud або завантаження на смартфон довільного шкідливого коду.

Спочатку передбачалося, що пристрій, для якого власник активував так званий «Режим пропажі», можна відсканувати за допомогою смартфона на iOS або Android, після чого користувач може побачити номер контактного телефону господаря. Як з’ясувалося, ця функція здатна легко привести на фішингову сторінку або будь-який інший шкідливий сайт.

Apple AirTag

Включення «Режиму пропажі» генерує унікальний URL на домені found.apple.com і дозволяє власнику ввести персональне повідомлення для людини, яка знайшла пристрій і контактний номер телефону.

Після сканування ця людина, в ідеалі, повинна побачити коротке повідомлення із закликом зателефонувати. Для перегляду інформації не потрібно вводити власні дані або входити в iCloud, але далеко не всім про це відомо. Більш того, в поле телефонного номера власник AirTag може вносити довільний код.

Уразливість була виявлена ​​бостонським експертом з інформаційної безпеки Боббі Раухом, після чого той зв’язався з Apple в надії на нагороду, досить давно запропоновану компанією за виявлені вразливості. У компанії відповіли, що усунуть її в новому оновленні ПЗ і попросили не розповсюджуватися про виявлену проблему. Відомо, що програма Apple передбачає виплати до мільйона доларів за знайдені вразливості, але на відповідні питання в Apple відмовчувалися, відповівши: «Ми будемо вдячні, якщо ви не будете розповідати про уразливість».

Apple AirTags

Як повідомляє портал KrebsonSecurity, скарги на «нечуйність» Apple з’являються не вперше. Компанію звинувачують в повільному усуненні вразливостей і тому, що та далеко не завжди платить винагороди за їх виявлення, а також і зовсім не відповідає на повідомлення про помилки та проблеми в системі безпеки. При цьому в «даркнеті» існує чимало бажаючих заплатити реальні і значні суми тим, хто знайде можливі лазівки. Втім, високий ризик того, що фахівці, не дочекавшись зворотного зв’язку і заохочення, просто публікуватимуть інформацію у вільному доступі – такі випадки вже також мали місце.

Читайте також:

Підтримати автора

Схожі статті

Підписатися
Сповістити про
guest
0 Comments
Вбудовані Відгуки
Переглянути всі коментарі