ΤΟ AirTag χαρακτηριστικό που επιτρέπει στον οποιοδήποτε με ένα smartphone να κάνει σκαν για ένα χαμένο AirTag και να εντοπίσει τα στοιχεία επικοινωνίας του κατόχου μπορεί να γίνει εργαλείο για επιθέσεις ηλεκτρονικού ψαρέματος σύμφωνα με νέα αναφορά της KrebsOnSecurity.
Όταν ένα AirTag μπαίνει σε Lost Mode αυτόματα δημιουργεί ένα URL στο https://found.apple.com και δίνει την δυνατότητα στον κάτοχο του να βάλει ένα τηλέφωνο επικοινωνίας ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου. Οποιοσδήποτε κάνει σκαν αυτό το AirTag στην συνέχει αυτόματα θα ανακατευθυνθεί στο URL με τα στοιχεία επικοινωνίας χωρίς κάποιο log in.
Σύμφωνα με το δημοσίευμα το Lost Mode δεν απαγορεύει σε χρήστες να κάνουν εισαγωγή πηγαίου κώδικα στο πεδίο εισαγωγής του τηλεφωνικού αριθμού και έτσι αυτός που κάνει σκαν το AirTag μπορεί να ανακατευθυνθεί σε μια ψεύτικη iCloud σελίδα ή σε κάποιο άλλο κακόβουλο site.
Ο Robby Raunch που βρήκε αυτό το κενό ασφαλείας ανέφερε χαρακτηριστικά:
“Δεν θυμάμαι άλλη περίπτωση που μια τόσο μικρή καταναλωτική συσκευή εντοπισμού με μικρό κόστος μπορεί να γίνει ένα όπλο κακόβουλων επιθέσεων”
Ο ίδιος επικοινώνησε με την Apple στις 20 Ιουνίου με την εταιρεία να παίρνει πολλούς μήνες για να κάνει έρευνα πάνω σε αυτό. Τελικά η Apple απάντησε στον Raunch ότι θα διορθώσει αυτό το bug σε επερχόμενη αναβάθμιση του λογισμικού και του ανέφερε να μην το κοινοποιήσει στο ευρύ κοινό.
Η Apple όμως δεν του απάντησε ποτέ για το αν θα λάβει κάποια αναγνώριση για αυτή του την αποκάλυψη ή για το αν θα μπορέσει να μπει στο Bug Bounty πρόγραμμα της εταιρείες και έτσι ως αντίδραση κοινοποίησε αυτή την ευπάθεια και την έκανε γνωστή στο κοινό.
“Τους είπα πως είμαι διατεθειμένος να δουλέψω μαζί τους αν προσφέρουν πληροφορίες για το πότε θα προχωρήσουν στην διόρθωση και αν θα λάβω κάποια αναγνώριση για αυτή την δουλειά μου. Η απάντηση τους ήταν βασικά το θα εκτιμούσαμε να μην το διαρρεύσεις αυτό και τίποτα περισσότερο.”
Ακολουθήστε το AppleWorldHellas στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το AppleWorldHellas στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://appleworldhellas.com/feed