Оригинал материала: https://3dnews.ru/1050178

Смарт-метки Apple AirTag могут быть использованы для фишинговых атак

Устройство Apple AirTag, предназначенное для крепления на всевозможные вещи для последующего поиска в случае потери, позволяет легко направить обнаружившего его гражданина на сайт, предназначенный для кражи данных для входа в iCloud или загрузки на смартфон произвольного вредоносного кода.

 krebsonsecurity

krebsonsecurity

Изначально предполагалось, что устройство, для которого владелец активировал т. н. «Режим пропажи», можно отсканировать с помощью смартфона на iOS или Android, после чего пользователь может увидеть номер контактного телефона хозяина. Как выяснилось, эта функция способна легко привести на фишинговую страницу или любой другой вредоносный сайт.

Включение «Режима пропажи» генерирует уникальный URL на домене found.apple.com и позволяет владельцу ввести персональное сообщение для нашедшего и контактный номер телефона.

После сканирования нашедший в норме увидит короткое сообщение с призывом позвонить. Для просмотра информации не нужно вводить собственные данные или входить в iCloud, но далеко не всем об этом известно. Более того, в поле телефонного номера владелец AirTag может вносить произвольный код.

 krebsonsecurity.com

krebsonsecurity.com

Уязвимость была обнаружена бостонским экспертом по информационной безопасности Бобби Раухом (Bobby Rauch), после чего тот связался с Apple в надежде на награду, довольно давно предлагаемую компанией за обнаруженные уязвимости. В компании ответили, что устранят её в новом обновлении ПО и попросили не распространяться об обнаруженной бреши.

Известно, что программа Apple предусматривает выплаты до миллиона долларов за найденные уязвимости, но на соответствующие вопросы в Apple предпочли отмолчаться, ответив: «Мы будем благодарны, если вы не будете рассказывать об уязвимости».

Как сообщает портал KrebsonSecurity, жалобы на «неотзывчивость» Apple появляются не впервые. Компанию обвиняют в медленном устранении уязвимостей и том, что та далеко не всегда платит вознаграждения за их обнаружение, а также и вовсе не отвечает на сообщения об ошибках и проблемах в системе безопасности. При этом в «даркнете» существует немало желающих заплатить реальные и значительные суммы тем, кто найдёт возможные лазейки.

Впрочем, высок риск того, что специалисты, не дождавшись обратной связи и поощрения, будут просто публиковать информацию в свободном доступе — такие случаи имели место.

Известно, что 19 июля Apple устранила уязвимость, о которой пользователь с ником illusionofchaos сообщал ещё в апреле. Не дождавшись награды, он опубликовал в сети сведения о трёх уязвимостях нулевого дня, причём предупреждение о такой возможности было заранее отправлено Apple, но «доброжелатель» так и не получил ответа.



Оригинал материала: https://3dnews.ru/1050178