Функция AirTag, позволяющая любому человеку со смартфоном отсканировать потерянный AirTag, чтобы узнать контактную информацию владельца, может быть использована для фишинговых атак, говорится в новом отчёте, опубликованном KrebsOnSecurity.
Когда AirTag переводится в режим пропажи, он генерирует URL-адрес для https://found.apple.com и позволяет владельцу AirTag ввести контактный номер телефона или адрес электронной почты. Любой, кто сканирует такую AirTag, автоматически переходит на URL-адрес с контактной информацией владельца, причём для просмотра предоставленных контактных данных не требуется вход в систему.
По данным KrebsOnSecurity, Режим пропажи не предотвращает введение пользователем произвольного кода в поле номера телефона, поэтому человек, сканирующий AirTag, может быть перенаправлен на фальшивую страницу входа в iCloud или другой вредоносный сайт. Тот, кто не знает, что для просмотра информации AirTag не требуется никакой личной информации, может быть обманом вынужден указать свой логин iCloud или другие личные данные. Либо такой редирект может привести к попытке загрузки вредоносного программного обеспечения.
Уязвимость AirTag была обнаружена консультантом по безопасности Бобби Раучем.
«Я не могу вспомнить другого случая, когда подобные небольшие устройства для отслеживания потребительского класса по низкой цене могли бы стать объектом атаки», – сказал он.
Рауч связался с Apple 20 июня, и компании потребовалось несколько месяцев на расследование. В прошлый четверг Apple сообщила ему, что устранит проблему в ближайшем обновлении, и попросила не рассказывать об этом публично.
Apple не ответила на его вопросы о том, получит ли он вознаграждение и подходит ли он для участия в программе «Bug bounty», поэтому он решил поделиться подробностями об уязвимости из-за отсутствия обратной связи со стороны Apple.
«Я готов работать с вами, если вы сможете предоставить некоторые подробности о том, когда планируете исправить уязвимость, и будет ли выплачено какое-либо вознаграждение за найденную неисправность», — сказал Рауч, отметив, что сообщил компании Apple, что планирует опубликовать свою находку в течение 90 дней после уведомления.
Их ответ был в основном таким: «Мы будем благодарны, если вы не станете об этом распространяться».
На прошлой неделе исследователь в области безопасности Денис Токарев обнародовал несколько уязвимостей нулевого дня в iOS после того, как Apple проигнорировала его сообщения и не исправляла проблемы в течение нескольких месяцев. Компания принесла извинения, но продолжает получать критику за свою программу вознаграждения о найденных уязвимостях и медлительность, с которой та реагирует на сообщения.
Juli Clover
Ещё по теме:
- Amazon представила домашнего робота «Astro» за $1500, Echo Show 15, конкурента Apple Fitness+ и многое другое
- Apple обновила Pages, Numbers и Keynote добавив новые функции для iOS 15 и macOS Monterey
- Пользователи массово жалуются на работу Safari 15 в macOS
