Apple har noen alvorlige problemer med sine splitter nye sporingsenheter – AirTag. Disse nyttige ved første øyekast enheter kan gjøres til et spredningspunkt for ondsinnet skadelig programvare. En sikkerhetskonsulent og penetrasjonstester med base i Boston Bob Rauch varslet allerede selskapet, men sa at det ikke virker som om de er raske i svaret. I følge han, svakheten som presenteres i AirTag -sporingsenheten gjør det mulig å sette inn tekstmeldingen i meldingsfeltet i en hvilken som helst kontekst. Og det kan gi en god mulighet for hackere som i utgangspunktet gjør Apple -sporingsenheten til en fysisk trojansk hest.
Er den tingen hackbar?
Arbeidsprinsippet for Air Tag er ganske enkelt, du kan sette det til alt som ofte kan gå tapt og aldri frykte å miste det. Hvis du mistet noe, du kan sette tingen til "tapt modus", og en unik URL -adresse blir opprettet på https://found.apple.com hvor eieren av den tapte varen kan skrive en melding til en potensiell søker og legge til et telefonnummer for å kontakte dem. Og det er der problemet ligger. Meldingen dukker opp uten at søkeren kan logge på eller gi personlig informasjon. På en slik måte, noen som kan finne denne sporingsenheten kan bli omdirigert av personen som med vilje mistet AirTag -en til et nettsted som enten vil prøve å installere skadelig programvare på enheten, eller til fiskesiden.
"Jeg kan ikke huske et annet tilfelle der slike små sporingsenheter av forbrukerklasse til en lav pris som dette kan bli våpen,”Samme Bob Rauch delte i et intervju med KrebsonSecurity.1
20. juni kontaktet han Apple om feilen han fant. Han spurte også når de skal fikse det og om han vil få kreditt. Svarene var bare at selskapet fortsatt undersøker, ignorerte spørsmålene sine. Dette fortsatte i omtrent tre måneder, og denne måneden mottok han en e -post om at selskapet planlegger å fikse feilen i en kommende oppdatering, og at han også vil være så snill å være stille til da? Rauch, ikke får svar på spørsmålene hans, bestemte seg for å offentliggjøre funnene sine før han varslet selskapet om at han vil gjøre det innen 90 dager. Det gjorde han selv om Apple uttaler i Apple Security Bounty at for å kvalifisere seg til Apples "bug bounty" -program, bør de som rapporterer om de nye funnene beholde sin taushet til feilen er fikset.
Apple er spesielt kjent for sin ikke så fine oppførsel i å håndtere feilrapportering, og mange forskere klager over at Apple ikke alltid betaler eller gir forskerne offentlig anerkjennelse, de er trege med å fikse rapporterte feil og svarer med korte ord eller reagerer ikke i det hele tatt. Mange cybersikkerhetsspesialister påpeker at slik uaktsomhet fører til at forskere bare publiserer rapportene sine på darknet hvor de kan få mye mer penger.
