Apple heeft serieuze problemen met hun gloednieuwe volgapparatuur – AirTag. Deze op het eerste gezicht nuttige apparaten kunnen een verspreidingspunt worden voor kwaadaardige malware. Een beveiligingsadviseur en penetratietester in Boston, Bob Rauch, heeft het bedrijf al op de hoogte gebracht, maar zei dat het niet lijkt alsof ze snel reageren. Volgens hem, de zwakte die in het AirTag-volgapparaat wordt gepresenteerd, maakt het mogelijk om in het berichtveld tekst van elke context in te voegen. En het kan hackers een goede kans bieden om van het Apple-volgapparaat in feite een fysiek Trojaans paard te maken.
Is dat ding te hacken??
Het principe van het werk van de Air Tag is vrij eenvoudig, je kunt het op alles zetten wat vaak verloren kan gaan en nooit bang zijn om het te verliezen. Als je iets kwijt bent, je kunt het ding in "Lost Mode" zetten en er wordt een uniek URL-adres gemaakt op https://found.apple.com waar de eigenaar van het verloren voorwerp een bericht kan schrijven naar een potentiële vinder en ook een telefoonnummer kan toevoegen om contact met hen op te nemen. En daar ligt het probleem. Het bericht verschijnt zonder de vinder om in te loggen of persoonlijke informatie te verstrekken. Op zo'n manier, iemand die dit volgapparaat kan vinden, kan door de persoon die opzettelijk zijn AirTag heeft verloren, worden omgeleid naar een website die ofwel zal proberen malware op zijn apparaat te installeren, of naar de vispagina.
"Ik kan me geen ander geval herinneren waarin dit soort kleine tracking-apparaten van consumentenkwaliteit tegen lage kosten als deze als wapen zouden kunnen worden gebruikt,” deelde dezelfde Bob Rauch in een interview met KrebsonSecurity.1
Hij nam op 20 juni contact op met Apple over de bug die hij had gevonden. Hij vroeg ook wanneer ze het gaan repareren en of hij krediet krijgt. De reacties waren alleen dat het bedrijf nog aan het onderzoeken is, zijn vragen negerend. Dit ging zo'n drie maanden door en deze maand ontving hij een e-mail waarin stond dat het bedrijf van plan is de bug in een komende update te verhelpen en ook zo vriendelijk zou zijn om tot die tijd stil te blijven? Rauch, geen antwoord krijgen op zijn vragen, besloot zijn bevindingen openbaar te maken voordat hij het bedrijf op de hoogte bracht dat hij dit binnen de 90 dagen. Dat deed hij, hoewel Apple in hun Apple Security Bounty stelt dat om in aanmerking te komen voor het "bug bounty"-programma van Apple, degenen die over de nieuwe bevindingen rapporteren, hun mond moeten houden totdat de bug is verholpen.
Apple staat vooral bekend om hun niet zo aardige manieren om bugs te melden en veel onderzoekers klagen dat Apple niet altijd betaalt of de onderzoekers publieke erkenning geeft, ze zijn traag met het oplossen van gerapporteerde bugs en reageren in korte woorden of reageren helemaal niet. Veel cyberbeveiligingsspecialisten wijzen erop dat dergelijke nalatigheid ertoe leidt dat onderzoekers hun rapporten gewoon op het darknet publiceren, waar ze veel meer geld kunnen krijgen.
