Συσκευή Apple Airtag, που έχει σχεδιαστεί για να προσαρτάται σε όλα τα είδη για μελλοντική ανάκτηση σε περίπτωση απώλειας, διευκολύνει την καθοδήγηση του πολίτη που το βρίσκει σε έναν ιστότοπο που έχει σχεδιαστεί για την κλοπή των διαπιστευτηρίων σύνδεσης iCloud ή τη λήψη αυθαίρετου κακόβουλου κώδικα σε ένα smartphone.
Αρχικά, θεωρήθηκε ότι μια συσκευή για την οποία ο κάτοχος είχε ενεργοποιήσει τη λεγόμενη "Lost Mode" θα μπορούσε να σαρωθεί χρησιμοποιώντας ένα smartphone iOS ή Android, μετά την οποία ο χρήστης μπορεί να δει τον αριθμό τηλεφώνου επικοινωνίας του οικοδεσπότη. Όπως αποδεικνύεται, αυτή η δυνατότητα μπορεί εύκολα να οδηγήσει σε μια σελίδα phishing ή σε οποιονδήποτε άλλο κακόβουλο ιστότοπο.
Η ενεργοποίηση του "Lost Mode" δημιουργεί μια μοναδική διεύθυνση URL στον τομέα που βρέθηκε.apple.com και επιτρέπει στον ιδιοκτήτη να εισάγει ένα προσωπικό μήνυμα για το άτομο που βρήκε τη συσκευή και έναν αριθμό τηλεφώνου επικοινωνίας.
Μετά τη σάρωση, αυτό το άτομο θα πρέπει ιδανικά να δει ένα σύντομο μήνυμα που το προτρέπει να τηλεφωνήσει. Για να δείτε πληροφορίες, δεν χρειάζεται να εισαγάγετε τα προσωπικά σας δεδομένα ή να συνδεθείτε στο iCloud, αλλά δεν το γνωρίζουν όλοι. Επιπλέον, ο κάτοχος AirTag μπορεί να εισαγάγει οποιονδήποτε κωδικό στο πεδίο αριθμού τηλεφώνου.
Η ευπάθεια ανακαλύφθηκε από τον ειδικό σε θέματα ασφάλειας πληροφοριών Bobby Rauch με έδρα τη Βοστώνη, ο οποίος επικοινώνησε Apple με την ελπίδα μιας ανταμοιβής που θα προσφέρει η εταιρεία για τα τρωτά σημεία που ανακαλύφθηκαν πριν από αρκετό καιρό. Η εταιρεία απάντησε ότι θα το εξαλείψει με μια νέα ενημέρωση λογισμικού και ζήτησε να μην διαδοθεί η είδηση για το πρόβλημα που εντοπίστηκε. Είναι γνωστό ότι το πρόγραμμα Apple προβλέπει πληρωμές έως και ενός εκατομμυρίου δολαρίων για ευπάθειες που βρέθηκαν, αλλά για σχετικές ερωτήσεις σε Apple αρνήθηκε, λέγοντας: «Θα το εκτιμούσαμε αν δεν μιλούσατε για την ευπάθεια».
Όπως αναφέρει η πύλη KrebsonSecurity, παράπονα για «αναισθησία» Apple δεν εμφανίζεται για πρώτη φορά. Η εταιρεία κατηγορείται για αργή εξάλειψη των τρωτών σημείων και για το γεγονός ότι δεν πληρώνει πάντα ανταμοιβές για τον εντοπισμό τους και επίσης δεν ανταποκρίνεται καθόλου σε αναφορές σφαλμάτων και προβλημάτων στο σύστημα ασφαλείας. Παράλληλα, στο «σκοτεινό δίχτυ» υπάρχουν πολλοί πρόθυμοι να πληρώσουν πραγματικά και σημαντικά ποσά σε όσους βρουν πιθανά κενά. Ωστόσο, υπάρχει μεγάλος κίνδυνος οι ειδικοί, χωρίς να περιμένουν σχόλια και ενθάρρυνση, απλώς να δημοσιεύουν πληροφορίες με ελεύθερη πρόσβαση - τέτοιες περιπτώσεις έχουν ήδη συμβεί.
Διαβάστε επίσης: