Уређај Apple АирТаг, дизајниран да буде прикачен на све врсте ствари ради каснијег проналажења у случају губитка, олакшава усмеравање грађанина који га пронађе на сајт дизајниран за крађу иЦлоуд акредитива за пријаву или преузимање произвољног злонамерног кода на паметни телефон.
У почетку се претпостављало да уређај за који је власник активирао такозвани „Изгубљени режим“ може да се скенира помоћу иОС паметног телефона или Android, након чега корисник може да види контакт телефон домаћина. Како се испоставило, ова функција може лако довести до пхисхинг странице или било које друге злонамерне локације.
Омогућавање „Изгубљени режим“ генерише јединствени УРЛ на пронађеном домену.apple.цом и омогућава власнику да унесе личну поруку за особу која је пронашла уређај и број телефона за контакт.
Након скенирања, та особа би у идеалном случају требало да види кратку поруку која је позива да позове. Да бисте видели информације, не морате да уносите своје личне податке или да се пријавите на иЦлоуд, али не знају сви за ово. Штавише, власник АирТаг-а може да унесе било који код у поље за број телефона.
Рањивост је открио бостонски стручњак за безбедност информација Боби Раух, који је контактирао Apple у нади да ће компанија понудити награду за откривене рањивости пре доста времена. Компанија је одговорила да ће то елиминисати у новом ажурирању софтвера и замолила је да се не шири вест о откривеном проблему. Познато је да програм Apple предвиђа исплате до милион долара за пронађене рањивости, али за релевантна питања у Apple је одбио, рекавши: „Ценили бисмо ако не говорите о рањивости“.
Како преноси портал КребсонСецурити, жалбе на „неосетљивост“ Apple појављују се не први пут. Компанија је оптужена за споро отклањање рањивости и чињеницу да не плаћа увек награде за њихово откривање, а такође уопште не реагује на пријаве грешака и проблема у систему безбедности. Истовремено, у „даркнету” има много вољних да плате стварне и значајне суме онима који пронађу могуће рупе. Међутим, постоји велики ризик да ће стручњаци, не чекајући повратне информације и охрабрење, једноставно објавити информације у слободном приступу - такви случајеви су се већ десили.
Прочитајте такође: