Social media
Błąd w lokalizatorze AirTag może kierować na strony phishingowe
W oferowanym przez Apple lokalizatorze o nazwie AirTag wykryto lukę w zabezpieczeniach. Pozwala ona na zarażenie urządzenia złośliwym kodem powodującym, że przypadkowy znalazca przedmiotu z AirTagiem może zostać przekierowany do stron wyłudzających poufne dane.
Urządzenie o nazwie AirTag zostało wprowadzone na rynek przez Apple w kwietniu 2021 roku. AirTag to lokalizator mający formę niewielkiego breloczka, który połączony z konkretnym przedmiotem pozwala na ustalenie jego położenia użytkownikowi smartfona za pomocą technologii Bluetooth lub NFC.
Po podłączeniu AirTaga do przedmiotu jego lokalizację można ustalić dzięki funkcji o nazwie Find My. W Polsce jeden AirTag kosztuje ok. 160 zł.
Groźna luka
Jedną z funkcji oferowanych przez AirTag jest tryb „Lost Mode". Umożliwia on użytkownikom odnalezienie przedmiotu wyposażonego w gadżet w wypadku jego zagubienia.
Ustawienie AirTaga w trybie „Lost Mode" powoduje wygenerowanie unikalnego adresu URL i umożliwia użytkownikowi wprowadzenie osobistej wiadomości oraz numeru telefonu kontaktowego. Każdy, kto znajdzie AirTaga i zeskanuje go za pomocą telefonu Apple lub telefonu z systemem Android, natychmiast zobaczy ten unikalny adres URL Apple wraz z prośbą o nawiązanie połączenia z właścicielem pod podanym numerem telefonu.
Jak poinformowano na blogu KrebsOnSecurity ta przydatna funkcja może okazać się groźna i wykorzystana przez cyberprzestępców z powodu luki w zabezpieczeniach AirTaga.
Luka została odkryta i zgłoszona do Apple przez Bobby’ego Raucha, konsultanta bezpieczeństwa z Bostonu. Rauch ustalił, że słabe zabezpieczenie AirTaga pozwalają hakerom bez większego trudu zmodyfikować połączenie gadżetu w sieci w taki sposób, który uczyni ze znalazcy zagubionego AirTaga potencjalną ofiarę ataku.
Chodzi o zmodyfikowanie danych, które osoba odnajdująca gadżet po jego zeskanowaniu zobaczy na ekranie smartfona. Zamiast prawdziwych informacji o właścicielu, znalazca zobaczy link, który przekieruje go na spreparowaną stronę w usłudze iCloud lub na jakąkolwiek inną witrynę zawierającą złośliwe oprogramowanie. Stąd już prosta droga do tego, by cyberprzestępcy zainfekowali telefon i przejęli poufne dane na temat znalazcy AirTaga.
„Nie pamiętam innego przypadku, w którym tego typu małe urządzenia śledzące klasy konsumenckiej, o niskim koszcie, mogłyby zostać wykorzystane jako broń" – przyznał Rauch w rozmowie z KrebsOnSecurity.
Opieszały Apple
Rauch ujawnił, że skontaktował się z Apple w sprawie błędu już 20 czerwca br., ale przez trzy miesiące otrzymywał jedynie zdawkowe odpowiedzi, że sprawa jest badana.
Kilka dni temu firma wysłała do Raucha kolejną wiadomość stwierdzając, że planuje załatać lukę w nadchodzącej aktualizacji. Jednocześnie Apple poprosił, aby do tego czasu badacz nie ujawniał szerzej swojej wiedzy na temat słabości AirTaga.
Rauch uznał jednak, że ponieważ koncern przez wiele tygodni nie udzielił mu odpowiedzi na temat szczegółów dotyczących luki, powinien poinformować użytkowników o potencjalnym niebezpieczeństwie.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.