Apple позволяет использовать сервис Find My для поиска и отслеживания устройств. При этом создаётся уникальная страница, содержащая серийный номер AirTag, номер телефона или электронную почту, а также сообщение владельца утерянной метки. Когда кто-то находит чужую метку, он может сканировать её с помощью своего устройства и перейти на указанный URL с информацией владельца AirTag.
Источник изображения: cnet.com
Однако злоумышленник может ввести произвольный код в поле номера телефона. Жертва будет полагать, что её просят войти в iCloud, чтобы связаться с владельцем AirTag, но на самом деле его перенаправили на фишинговую страницу для кражи учётных данных. В данном случае могут быть реализованы и другие эксплойты. Исследователь безопасности считает, что злоумышленники могут приобретать метки с целью создания физических троянов. Таким образом они будут «цеплять» жертв, которые просто хотят помочь человеку найти AirTag.
Исследователь уведомил Apple об уязвимости три месяца назад, но за это время компания «изучала» проблему. И только после того, как он связался с известным экспертом по кибербезопасности Брайаном Кребсом (Brian Krebs), Apple пообещала исправить её в следующем обновлении ПО.
Материалы по теме:
- Бесплатная утилита OnionShare создаёт на базе Tor файлообменник и мессенджер. Как ей пользоваться
Обзор охранной системы Ajax: безопасный протокол связи и продуманное резервирование
Источник: