Apple은 새로운 추적 장치에 몇 가지 심각한 문제가 있습니다. – 에어태그. 이러한 유용한 장치는 언뜻 보기에 악성 맬웨어의 확산 지점이 될 수 있습니다.. 보스턴에 있는 보안 컨설턴트이자 침투 테스터인 Bob Rauch는 이미 회사에 알렸지만 응답이 빠르지 않은 것 같다고 말했습니다.. 그의 말에 따르면, AirTag 추적 장치의 약점은 모든 컨텍스트의 메시지 필드 텍스트 삽입을 허용합니다.. 그리고 기본적으로 Apple 추적 장치를 물리적 트로이 목마로 만드는 해커에게 좋은 기회를 제공할 수 있습니다..
그게 해킹 가능한가요??
에어 태그의 작동 원리는 매우 간단합니다., 자주 잃어버릴 수 있고 잃어버릴까 두려워하지 않는 것이라면 무엇이든 넣을 수 있습니다.. 잃어버린 것이 있다면, 사물을 "분실 모드"로 설정할 수 있으며 https에서 고유한 URL 주소가 생성됩니다.://find.apple.com에서 분실물 소유자는 잠재적인 발견자에게 연락할 전화번호를 추가하여 메시지를 작성할 수 있습니다.. 문제는 여기에 있습니다. 파인더 없이 로그인하거나 개인 정보를 제공하라는 메시지가 나타납니다.. 이러한 방식으로, 이 추적 장치를 찾을 수 있는 사람은 의도적으로 AirTag를 분실한 사람이 장치에 맬웨어를 설치하려고 시도하는 웹사이트로 리디렉션할 수 있습니다., 또는 낚시 페이지로.
“이렇게 저렴한 소비자급 추적 장치가 무기화될 수 있었던 또 다른 사례는 기억나지 않습니다.," 같은 Bob Rauch가 KrebsonSecurity와의 인터뷰에서 공유했습니다..1
그는 6월 20일 자신이 발견한 버그에 대해 Apple에 연락했습니다.. 그는 또한 그들이 언제 고칠 것인지와 신용을 얻을 것인지 물었습니다.. 회사에서 아직 조사 중이라는 답변만, 그의 질문을 무시했습니다. 이것은 약 3개월 동안 계속되었고 이번 달에 그는 회사가 다음 업데이트에서 버그를 수정할 계획이며 그때까지 조용히 있을 수 있도록 친절할 것이라는 이메일을 받았습니다.? 라우흐, 그의 질문에 대한 답변을 받지 못함, 회사에 알리기 전에 자신의 연구 결과를 공개하기로 결정했습니다. 90 일. 그는 Apple이 Apple Security Bounty에서 Apple의 "버그 바운티" 프로그램 자격을 얻으려면 새로운 발견 사항에 대해 보고하는 사람들이 버그가 수정될 때까지 침묵을 지켜야 한다고 명시했음에도 불구하고 그렇게 했습니다..
Apple은 특히 버그 보고를 처리할 때 매너가 좋지 않은 것으로 알려져 있으며 많은 연구자들은 Apple이 항상 비용을 지불하거나 연구원에게 공개적으로 인정을 주지 않는다고 불평합니다., 그들은 보고된 버그를 수정하는 데 느리고 짧은 단어로 응답하거나 전혀 응답하지 않습니다.. 많은 사이버 보안 전문가들은 이러한 과실로 인해 연구자들이 더 많은 돈을 벌 수 있는 다크넷에 보고서를 게시하게 된다고 지적합니다..
