Támadhatóak az Apple AirTagek megtalálói

Nem remekel újabban az ügyfelek biztonságát és magánszféráját állítólag mindenek felett tartó Apple a sérülékenységek javításában, egy macOS-ben lévő triviális hibajavítás elbaltázása és három az iOS-ben lévő nulladik napi sebezhetőség figyelmen kívül hagyása után kiderült, hogy az AirTag keresőkütyü szoftverében is található egy súlyos sérülékenység.

A sebezhetőséget Bobby Rauch kutató találta még júniusban, a felfedezése szerint a támadók csali AirTag kütyükkel képesek támadó webhelyekre irányítani az okoscímkéket megtaláló személyeket, ehhez a beállításukkor csak be kell másolniuk egy szkriptet a kapcsolatfelvételi telefonszám megadására kitalált mezőbe.

A támadás akkor történik, mikor a tulajdonossal való kapcsolatfelvétel érdekében a megtaláló beolvassa a talált kütyüt, az Apple weboldala helyett például adathalász webhely nyílhat meg a mobiljának böngészőjében.

Rauch rögtön jelentette a problémát az Apple bug bounty programján keresztül, az illetékesek tudomásul vették a riportját, azonban nem adtak tájékoztatást a javításának várható idejéről, továbbá a nyilvános köszönetnyilvánítás és az esetleges pénzjutalom kérdését sem feszegették. Mostanra letelt a biztonsági iparban szokványos 90 nap türelmi idő, az Apple még mindig nem javította a súlyos sérülékenységet, reagálni sem hajlandó Rauch megkereséseire, így a kutató jobb híján kiborította a bilit.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!