Thiết bị Apple Thẻ Air, được thiết kế để gắn vào mọi thứ để sau này tìm lại trong trường hợp bị mất, giúp dễ dàng hướng công dân tìm thấy nó đến một trang web được thiết kế để đánh cắp thông tin đăng nhập iCloud hoặc tải mã độc tùy ý xuống điện thoại thông minh.
Ban đầu, người ta cho rằng thiết bị mà chủ sở hữu đã kích hoạt cái gọi là "Chế độ mất" có thể được quét bằng điện thoại thông minh iOS hoặc Android, sau đó người dùng có thể xem số điện thoại liên hệ của chủ nhà. Hóa ra, chức năng này có thể dễ dàng dẫn đến một trang lừa đảo hoặc bất kỳ trang web độc hại nào khác.
Bật "Chế độ bị mất" sẽ tạo một URL duy nhất trên miền được tìm thấy.apple.com và cho phép chủ sở hữu nhập tin nhắn cá nhân cho người đã tìm thấy thiết bị và số điện thoại liên hệ.
Sau khi quét, lý tưởng nhất là người đó sẽ thấy một tin nhắn ngắn thúc giục họ gọi. Để xem thông tin, bạn không cần nhập dữ liệu cá nhân hay đăng nhập iCloud nhưng không phải ai cũng biết về điều này. Hơn nữa, chủ sở hữu AirTag có thể nhập bất kỳ mã nào vào trường số điện thoại.
Lỗ hổng được phát hiện bởi chuyên gia bảo mật thông tin Bobby Rauch có trụ sở tại Boston, người đã liên hệ với Apple với hy vọng nhận được phần thưởng do công ty cung cấp cho những lỗ hổng được phát hiện cách đây khá lâu. Công ty trả lời rằng họ sẽ loại bỏ nó trong một bản cập nhật phần mềm mới và yêu cầu không lan truyền thông tin về vấn đề đã phát hiện. Được biết, chương trình Apple cung cấp các khoản thanh toán lên tới một triệu đô la cho các lỗ hổng được tìm thấy, nhưng đối với các câu hỏi có liên quan trong Apple từ chối, nói rằng, "Chúng tôi sẽ đánh giá cao nếu bạn không nói về lỗ hổng bảo mật."
Như cổng thông tin KrebsonSecurity báo cáo, các khiếu nại về "sự vô cảm" Apple xuất hiện không phải lần đầu tiên. Công ty bị cáo buộc loại bỏ chậm các lỗ hổng và thực tế là không phải lúc nào họ cũng trả tiền thưởng cho việc phát hiện ra chúng, đồng thời cũng không phản hồi gì với các báo cáo về lỗi và sự cố trong hệ thống bảo mật. Đồng thời, trong "darknet" có nhiều người sẵn sàng trả những khoản tiền thực và đáng kể cho những người tìm thấy những sơ hở có thể. Tuy nhiên, có nguy cơ cao là các chuyên gia, không đợi phản hồi và khuyến khích, sẽ chỉ công bố thông tin dưới dạng truy cập miễn phí - những trường hợp như vậy đã xảy ra.
Đọc thêm: