Pajisja Apple AIRTAG, i projektuar për t'u bashkangjitur me të gjitha llojet e gjërave për t'u marrë më vonë në rast humbjeje, e bën të lehtë drejtimin e qytetarit që e gjen në një faqe të krijuar për të vjedhur kredencialet e hyrjes në iCloud ose për të shkarkuar kode me qëllim të keq arbitrar në një smartphone.
Fillimisht, u supozua se një pajisje për të cilën pronari kishte aktivizuar të ashtuquajturën "Modaliteti i humbur" mund të skanohej duke përdorur një smartphone iOS ose Android, pas së cilës përdoruesi mund të shohë numrin e telefonit të kontaktit të hostit. Siç rezulton, kjo veçori mund të çojë lehtësisht në një faqe phishing ose ndonjë faqe tjetër me qëllim të keq.
Aktivizimi i "Modalitetit të Humbur" gjeneron një URL unike në domenin e gjetur.apple.com dhe i lejon pronarit të fusë një mesazh personal për personin që ka gjetur pajisjen dhe një numër telefoni kontakti.
Pas skanimit, ai person duhet të shohë në mënyrë ideale një mesazh të shkurtër që i kërkon të telefonojë. Për të parë informacionin, nuk keni nevojë të futni të dhënat tuaja personale ose të identifikoheni në iCloud, por jo të gjithë e dinë për këtë. Për më tepër, pronari i AirTag mund të fusë çdo kod në fushën e numrit të telefonit.
Dobësia u zbulua nga eksperti i sigurisë së informacionit me bazë në Boston, Bobby Rauch, i cili kontaktoi Apple me shpresën e një shpërblimi të ofruar nga kompania për dobësitë e zbuluara mjaft kohë më parë. Kompania u përgjigj se do ta eliminonte atë në një përditësim të ri të softuerit dhe kërkoi që të mos përhapej fjala për problemin e zbuluar. Dihet se programi Apple parashikon pagesa deri në një milion dollarë për dobësitë e gjetura, por për pyetjet përkatëse në Apple nuk pranoi, duke thënë: "Ne do ta vlerësonim nëse nuk do të flisnit për cenueshmërinë."
Siç raporton portali KrebsonSecurity, ankesat për "pandjeshmëri" Apple nuk shfaqet për herë të parë. Kompania akuzohet për eliminimin e ngadaltë të dobësive dhe për faktin se jo gjithmonë paguan shpërblime për zbulimin e tyre, dhe gjithashtu nuk i përgjigjet fare raporteve për gabime dhe probleme në sistemin e sigurisë. Në të njëjtën kohë, në "rrjetën e errët" ka shumë të gatshëm të paguajnë shuma reale dhe të konsiderueshme për ata që gjejnë boshllëqe të mundshme. Megjithatë, ekziston një rrezik i lartë që specialistët, pa pritur reagime dhe inkurajim, thjesht të publikojnë informacione në akses të lirë - raste të tilla tashmë kanë ndodhur.
Lexoni gjithashtu: