Функция AirTag, которая позволяет любому владельцу смартфона сканировать потерянный ‌AirTag‌ для получения контактной информации владельца, может быть использована для фишинговых мошеннических схем, согласно новому отчету, опубликованному KrebsOnSecurity.

Когда ‌AirTag‌ переведен в режим «В потерянном режиме», он генерирует URL-адрес для https://found.apple.com и позволяет владельцу ‌AirTag‌ ввести контактный номер телефона или адрес электронной почты. Любой, кто сканирует этот ‌AirTag‌, автоматически перенаправляется по этому URL-адресу с контактной информацией владельца, без необходимости входа в систему или предоставления личной информации для просмотра предоставленных контактных данных.

По словам KrebsOnSecurity, режим «В потерянном режиме» не препятствует введению произвольного компьютерного кода в поле номера телефона, поэтому человек, сканирующий ‌AirTag‌, может быть перенаправлен на поддельную страницу входа в iCloud или другой вредоносный сайт. Человек, который не знает, что для просмотра информации ‌AirTag‌ не требуется личная информация, может быть обманут и ввести свои данные для входа в iCloud или другие личные данные, либо перенаправление может попытаться загрузить вредоносное программное обеспечение.

Уязвимость ‌AirTag‌ была обнаружена консультантом по безопасности Бобби Раучем, который сообщил KrebsOnSecurity, что уязвимость делает AirTags опасными. «Я не могу вспомнить другого случая, когда подобные небольшие трекеры потребительского уровня по такой низкой цене могли быть использованы как оружие», — сказал он.

Рауч связался с Apple 20 июня, и Apple потребовалось несколько месяцев для расследования. В прошлый четверг Apple сообщила Раучу, что исправит уязвимость в предстоящем обновлении, и попросила его не говорить об этом публично.

Apple не ответила на его вопросы о том, получит ли он признание или подпадает ли под действие программы вознаграждения за ошибки, поэтому он решил поделиться деталями уязвимости из-за отсутствия коммуникации со стороны Apple.

«Я сказал им: «Я готов работать с вами, если вы предоставите некоторые детали о том, когда вы планируете устранить это, и будет ли какое-либо признание или выплата вознаграждения за ошибку», — сказал Рауч, отметив, что он сообщил Apple о своем намерении опубликовать свои выводы в течение 90 дней после уведомления их. «Их ответ был, по сути: «Мы были бы признательны, если бы вы не сливали это».

На прошлой неделе специалист по безопасности Денис Токарев сделал публичными несколько уязвимостей нулевого дня для iOS после того, как Apple проигнорировала его сообщения и не исправила проблемы в течение нескольких месяцев. Apple с тех пор извинилась, но компания продолжает получать критику за свою программу вознаграждения за ошибки и медлительность в реагировании на отчеты.