Luka w trybie utraconego trybu AirTag może przekierowywać użytkowników na złośliwe strony internetowe

Zgodnie z nowym raportem udostępnionym przez AirTag, funkcja AirTag, która umożliwia każdemu posiadaczowi smartfona zeskanowanie brakującego AirTag w celu zlokalizowania danych kontaktowych właściciela, może zostać wykorzystana do oszustwa phishingowego. Naleśniki na temat bezpieczeństwa.

Gdy AirTag jest ustawiony w trybie utraconym, tworzy adres URL https://found.apple.com i pozwala właścicielowi AirTag wprowadzić numer telefonu kontaktowego lub adres e-mail. Każdy, kto zeskanuje ten AirTag, zostanie automatycznie przekierowany na adres URL z danymi kontaktowymi właściciela, bez konieczności logowania lub danych osobowych, aby wyświetlić podane dane kontaktowe.

Według KrebsOnSecurity tryb utracony nie uniemożliwia użytkownikom wpisania losowego kodu komputerowego w polu numeru telefonu, więc osoba skanująca AirTag może zostać przekierowana do fałszywego procesu iCloud Strona logowania lub inna złośliwa witryna. Osoba, która nie wie, że do wyświetlenia informacji AirTag nie są wymagane żadne dane osobowe, może zostać nakłoniona do podania danych logowania do iCloud ‌ lub innych danych osobowych, albo przekierowanie może próbować pobrać złośliwe oprogramowanie.

Luka AirTag została wykryta przez konsultanta ds. bezpieczeństwa Bobby’ego Rauncha, który powiedział KrebsOnSecurity, że luka sprawia, że AirTag Niebezpieczny >> przymiotnik. „Nie pamiętam innego przypadku, w którym ten rodzaj małego urządzenia śledzącego klasy konsumenckiej mógłby być używany tak niskim kosztem, jak taka broń” – powiedział.

Rauch skontaktował się z Apple 20 czerwca i zbadanie sprawy zajęło Apple kilka miesięcy. Apple powiedział Rauchowi w zeszły czwartek, że usunie lukę w nadchodzącej aktualizacji i poprosił go, aby nie mówił o tym publicznie.

Apple nie odpowiedział na jego pytania dotyczące tego, czy otrzyma kredyt lub czy kwalifikuje się do programu bug bounty, więc postanowił podzielić się szczegółami na temat luki w zabezpieczeniach spowodowanej brakiem komunikacji Apple.

„Powiedziałem im: „Chcę z tobą współpracować, jeśli możesz podać szczegóły dotyczące tego, kiedy planujesz to naprawić i czy nastąpiło jakiekolwiek potwierdzenie lub wypłata nagrody za błąd” – powiedział Rauch, zauważając, że miał powiedział Apple, że planuje opublikować wyniki w ciągu 90 dni od otrzymania powiadomienia. Ich odpowiedź brzmiała w zasadzie: „Będziemy wdzięczni, gdybyś tego nie ujawnił”. ’

W zeszłym tygodniu badacz bezpieczeństwa Denis Tokarev ujawnił kilka luk zero-day w iOS po tym, jak Apple zignorował jego raporty i nie naprawił problemów przez wiele miesięcy. Jabłko Od tamtej pory przeprosiłemJednak firma nadal otrzymuje krytykę za swój program bug bounty i powolność, z jaką reaguje na zgłoszenia.