Apple hat einige ernsthafte Probleme mit seinen brandneuen Tracking-Geräten – AirTag. Diese auf den ersten Blick nützlichen Geräte können zu einem Verbreitungspunkt für bösartige Malware gemacht werden. Ein Sicherheitsberater und Penetrationstester mit Sitz in Boston, Bob Rauch, hat das Unternehmen bereits benachrichtigt, sagte jedoch, dass es nicht so aussieht, als würden sie schnell reagieren. Laut ihm, Die Schwachstelle des AirTag-Tracking-Geräts ermöglicht das Einfügen von Text in jedem Kontext in das Nachrichtenfeld. Und es kann eine gute Gelegenheit für Hacker darstellen, das Apple-Tracking-Gerät im Grunde zu einem physischen Trojaner zu machen.
Ist das Ding hackbar??
Das Funktionsprinzip des Air Tag ist ganz einfach, Sie können es auf alles legen, was oft verloren gehen kann, und haben keine Angst, es zu verlieren. Wenn du etwas verloren hast, Sie können das Ding in den „Lost Mode“ versetzen und eine eindeutige URL-Adresse wird unter https erstellt://found.apple.com, wo der Besitzer des verlorenen Gegenstands eine Nachricht an einen potenziellen Finder schreiben kann und auch eine Telefonnummer hinzufügen kann, um ihn zu kontaktieren. Und genau hier liegt das Problem. Die Meldung erscheint, ohne dass sich der Finder einloggen oder persönliche Daten angeben muss. Derart, Jemand, der dieses Tracking-Gerät findet, kann von der Person, die ihren AirTag absichtlich verloren hat, auf eine Website umgeleitet werden, die entweder versucht, Malware auf ihrem Gerät zu installieren, oder zur Angelseite.
„Ich kann mich an keinen anderen Fall erinnern, in dem diese Art von kleinen Ortungsgeräten für Verbraucher zu geringen Kosten wie diese als Waffe eingesetzt werden könnten.“,” teilte Bob Rauch in einem Interview mit KrebsonSecurity.1
Er kontaktierte Apple am 20. Juni wegen des Fehlers, den er gefunden hatte. Er hat auch gefragt, wann sie es reparieren werden und ob er eine Anerkennung bekommt. Die Antworten waren nur, dass das Unternehmen noch ermittelt, Er ignorierte seine Fragen. Das ging ungefähr drei Monate so und diesen Monat erhielt er eine E-Mail, in der er sagte, dass das Unternehmen plant, den Fehler in einem kommenden Update zu beheben und er auch so freundlich wäre, bis dahin Stillschweigen zu bewahren? Rauch, keine Antworten auf seine Fragen bekommen, beschlossen, seine Ergebnisse zu veröffentlichen, bevor er dem Unternehmen mitteilte, dass er dies innerhalb von 90 Tage. Er tat es, obwohl Apple in seinem Apple Security Bounty feststellte, dass diejenigen, die über die neuen Erkenntnisse berichten, schweigen sollten, bis der Fehler behoben ist, um sich für das „Bug Bounty“-Programm von Apple zu qualifizieren.
Apple ist besonders bekannt für seine nicht so netten Umgangsformen mit der Fehlerberichterstattung und viele Forscher beschweren sich darüber, dass Apple nicht immer bezahlt oder die Forscher öffentlich anerkennt, sie sind langsam bei der Behebung von gemeldeten Fehlern und reagieren in kurzen Worten oder reagieren überhaupt nicht. Viele Cybersicherheitsspezialisten weisen darauf hin, dass eine solche Nachlässigkeit dazu führt, dass Forscher ihre Berichte einfach im Darknet veröffentlichen, wo sie viel mehr Geld verdienen können.
