Новости Software

Смарт-метки Apple AirTag могут быть использованы для фишинговых атак

Устройство Apple AirTag, предназначенное для крепления на всевозможные вещи для последующего поиска в случае потери, позволяет легко направить обнаружившего его гражданина на сайт, предназначенный для кражи данных для входа в iCloud или загрузки на смартфон произвольного вредоносного кода.

 krebsonsecurity

krebsonsecurity

Изначально предполагалось, что устройство, для которого владелец активировал т. н. «Режим пропажи», можно отсканировать с помощью смартфона на iOS или Android, после чего пользователь может увидеть номер контактного телефона хозяина. Как выяснилось, эта функция способна легко привести на фишинговую страницу или любой другой вредоносный сайт.

Включение «Режима пропажи» генерирует уникальный URL на домене found.apple.com и позволяет владельцу ввести персональное сообщение для нашедшего и контактный номер телефона.

После сканирования нашедший в норме увидит короткое сообщение с призывом позвонить. Для просмотра информации не нужно вводить собственные данные или входить в iCloud, но далеко не всем об этом известно. Более того, в поле телефонного номера владелец AirTag может вносить произвольный код.

 krebsonsecurity.com

krebsonsecurity.com

Уязвимость была обнаружена бостонским экспертом по информационной безопасности Бобби Раухом (Bobby Rauch), после чего тот связался с Apple в надежде на награду, довольно давно предлагаемую компанией за обнаруженные уязвимости. В компании ответили, что устранят её в новом обновлении ПО и попросили не распространяться об обнаруженной бреши.

Известно, что программа Apple предусматривает выплаты до миллиона долларов за найденные уязвимости, но на соответствующие вопросы в Apple предпочли отмолчаться, ответив: «Мы будем благодарны, если вы не будете рассказывать об уязвимости».

Как сообщает портал KrebsonSecurity, жалобы на «неотзывчивость» Apple появляются не впервые. Компанию обвиняют в медленном устранении уязвимостей и том, что та далеко не всегда платит вознаграждения за их обнаружение, а также и вовсе не отвечает на сообщения об ошибках и проблемах в системе безопасности. При этом в «даркнете» существует немало желающих заплатить реальные и значительные суммы тем, кто найдёт возможные лазейки.

Впрочем, высок риск того, что специалисты, не дождавшись обратной связи и поощрения, будут просто публиковать информацию в свободном доступе — такие случаи имели место.

Известно, что 19 июля Apple устранила уязвимость, о которой пользователь с ником illusionofchaos сообщал ещё в апреле. Не дождавшись награды, он опубликовал в сети сведения о трёх уязвимостях нулевого дня, причём предупреждение о такой возможности было заранее отправлено Apple, но «доброжелатель» так и не получил ответа.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Twitter передал Илону Маску дополнительные данные, ждём решения миллиардера по сделке 38 мин.
Новая статья: Teenage Mutant Ninja Turtles: Shredder’s Revenge — юные таланты. Рецензия 6 ч.
Экшен Fire Emblem Warriors: Three Hopes получил релизный трейлер и неплохие оценки в прессе 10 ч.
На горизонте замаячил пиратский флаг: проблемную Skull & Bones покажут в начале июля 10 ч.
Разработчики сборника Halo: The Master Chief Collection задумались над добавлением микротранзакций — фанаты против 11 ч.
Симулятор охоты Way of the Hunter с огромным открытым миром выйдет на ПК и консолях 16 августа 11 ч.
Кооперативному шутеру Deep Rock Galactic покорилась новая вершина продаж 12 ч.
Следующая игра FromSoftware уже почти готова, а в глубокой разработке находится ещё несколько 12 ч.
Треть российских компаний в ближайшее время перейдёт на отечественное ПО 12 ч.
Фэнтезийный лутер-шутер Tiny Tina’s Wonderlands поступил в продажу в Steam 13 ч.
Фото дня: пилотируемый корабль «Орёл» и российская орбитальная станция 9 мин.
Большинство функций автопилота теперь доступны покупателям Tesla за доплату в $6000 11 мин.
Innosilicon разогнала память LPDDR5X до 10 000 Мбит/с — это даст 80 Гбайт/с пропускной способности 11 ч.
Cerebras Systems поставила рекорд в области машинного обучения для одиночных систем 12 ч.
Дата-центры стали заложниками новой европейской энергетической политики, а украинский конфликт только усилил проблемы 12 ч.
Инженерный образец Raptor Lake сравнили с флагманом Alder Lake на одной частоте — до 20 % быстрее в многопоточных тестах 13 ч.
Продажи электромобилей в России выросли на 65 %, но дальнейшие перспективы туманны 13 ч.
Полупроводниковый бум подходит к концу — отрасль показала спад впервые с начала 2020 года 13 ч.
SpaceX запустит спутниковый интернет Starlink в Грузии 14 ч.
Блоки питания MSI MEG Ai1300 и 1000P с поддержкой PCIe 5.0 и ATX 3.0 смогут выдавать двукратную мощность в пике 14 ч.