Nie skanuj znalezionego AirTag! Możesz paść ofiarą oszustwa

Zauważono lukę w bezpieczeństwie lokalizatorów AirTag, która może zostać wykorzystana do wyłudzania danych użytkownika. O co dokładnie chodzi?

Źródło: Đức Trịnh / Unsplash

Zgodnie z nowym raportem KrebsOnSecurity - funkcja AirTag, która pozwala każdemu posiadaczowi smartfona na zeskanowanie zgubionego lokalizatora w celu odnalezienia danych kontaktowych właściciela, może być nadużywana do wyłudzania informacji.

Kiedy AirTag jest ustawiony w trybie Lost Mode, generuje adres URL dla https://found.apple.com i pozwala właścicielowi tego lokalizatora wprowadzić numer telefonu kontaktowego lub adres e-mail. Każdy, kto zeskanuje ten AirTag, jest automatycznie kierowany na adres URL z danymi kontaktowymi właściciela, bez konieczności logowania lub podawania danych osobowych, aby zobaczyć podane dane kontaktowe.

Zobacz również:

Źródło: Daniel Romero / Unsplash

Źródło: Daniel Romero / Unsplash

Według KrebsOnSecurity, Lost Mode nie zapobiega użytkownikom wprowadzania dowolnego kodu komputerowego w pole numeru telefonu, więc osoba skanująca może zostać przekierowana na fałszywą stronę logowania iCloud lub inną złośliwą witrynę. Ktoś, kto nie wie, że do wyświetlenia informacji z AirTag nie są wymagane żadne dane osobowe, może zostać podstępnie zmuszony do podania swojego loginu iCloud lub innych danych osobowych, a samo przekierowanie może spowodować próbę pobrania złośliwego oprogramowania.

Wada AirTag została odkryta przez konsultanta ds. bezpieczeństwa, Bobby'ego Rauncha, który powiedział KrebsOnSecurity, że luka ta czyni AirTagi niebezpiecznymi. Rauch skontaktował się z Apple 20 czerwca w tej sprawie, a firmie zajęło kilka miesięcy, aby zbadać sprawę. W ostatni czwartek dowiedzieliśmy się, że Apple naprawi ten problem z poziomu oprogramowania. Co ciekawe, firma poprosiła Rauncha o nie informowanie o tym szerszej publiczności.

Apple nie odpowiedział na jego pytania o to, czy otrzyma kredyt lub czy kwalifikuje się do programu bug bounty, więc zdecydował się podzielić szczegółami na temat luki z powodu braku komunikacji Apple.