התקן Apple תג אוויר, שנועד להיות מחובר לכל מיני דברים לצורך אחזור מאוחר יותר במקרה של אובדן, מקל על הפניית האזרח שמוצא אותו לאתר שנועד לגנוב אישורי כניסה של iCloud או להוריד קוד זדוני שרירותי לסמארטפון.
בתחילה, ההנחה הייתה שניתן לסרוק מכשיר שעבורו הבעלים הפעיל את מה שנקרא "מצב אבוד" באמצעות סמארטפון iOS או Android, לאחר מכן המשתמש יכול לראות את מספר הטלפון ליצירת קשר של המארח. כפי שהתברר, פונקציה זו עלולה להוביל בקלות לעמוד פישינג או לכל אתר זדוני אחר.
הפעלת "מצב אבוד" יוצרת כתובת URL ייחודית בדומיין שנמצא.apple.com ומאפשר לבעלים להזין הודעה אישית לאדם שמצא את המכשיר ומספר טלפון ליצירת קשר.
לאחר הסריקה, אדם זה אמור לראות באופן אידיאלי הודעה קצרה הקוראת לו להתקשר. כדי להציג מידע, אינך צריך להזין את הנתונים האישיים שלך או להיכנס ל-iCloud, אך לא כולם יודעים על כך. יתר על כן, הבעלים של AirTag יכול להזין כל קוד בשדה מספר הטלפון.
הפגיעות התגלתה על ידי מומחה אבטחת המידע מבוסטון, בובי ראוך, שיצר קשר Apple בתקווה לתגמול שהציעה החברה על נקודות תורפה שהתגלו לפני די הרבה זמן. החברה השיבה כי יבטלו זאת בעדכון תוכנה חדש וביקשה לא להפיץ את הבשורה על הבעיה שזוהתה. ידוע כי התוכנית Apple מספק תשלומים של עד מיליון דולר עבור פגיעויות שנמצאו, אך עבור שאלות רלוונטיות ב Apple סירב ואמר, "אנו נודה לך אם לא תדבר על הפגיעות".
כפי שמדווח פורטל KrebsonSecurity, תלונות על "חוסר רגישות" Apple להופיע לא בפעם הראשונה. החברה מואשמת בחיסול איטי של נקודות תורפה ובעובדה שהיא לא תמיד משלמת תגמולים על איתורן, וגם לא מגיבה כלל לדיווחים על טעויות ובעיות במערכת האבטחה. יחד עם זאת, ב"דארקנט" ישנם רבים שמוכנים לשלם סכומים אמיתיים ומשמעותיים למי שימצא פרצות אפשריות. עם זאת, קיים סיכון גבוה שמומחים, מבלי לחכות למשוב ולעידוד, פשוט יפרסמו מידע בגישה חופשית - מקרים כאלה כבר התרחשו.
קרא גם:
השאירו תגובה