AirTag może umożliwić kradzież loginu i hasła do konta iCloud

Lokalizator AirTag posiada buga, który może doprowadzić do kradzieży danych logowania do naszego konta iCloud. Odkrywca błędu opublikował go, gdyż nie doczekał się żadnej reakcji ze strony koncernu Apple.

Kilka miesięcy temu Apple wprowadziło na rynek własny lokalizator AirTag, którego możecie zakupić w tych sklepach za niewielkie pieniądze. To niewielkie urządzenie umożliwiające łatwe odnalezienie przedmiotu, do którego go przyczepimy, np., telefonu, kluczy do domu itp. Co więcej, lokalizator może je odnajdywać na większe odległości, co jest możliwe dzięki wsparciu sieci Find My.

Kiedy ktoś znajdzie przedmiot z doczepionym lokalizatorem, może go zeskanować uzyskując w ten sposób dane właściciela. Po zalogowaniu się do usługi iCloud, otrzyma wówczas możliwość kontaktu z właścicielem zguby, celem zwrotu jego własności. Specjalista ds. bezpieczeństwa z KrebsOnSecurity odkrył jednak w tej funkcji groźnego buga, który może doprowadzić do kradzieży naszych danych do konta iCloud.

Po włączeniu trybu Lost Mode, Apple tak naprawdę nie sprawdza, czy kod komputera wprowadzono w polu numeru telefonu. Gdy ktoś znajdzie spreparowany przez hakera lokalizator i zeskanuje go, może wówczas zostać skierowany na fałszywą stronę iCloud, gdzie wpisze swój login oraz hasło. W ten sposób cyberprzestępca uzyska dostęp do konta swej ofiary, która po prostu chciała komuś pomóc.

Odkrywca luki twierdzi, że natychmiast poinformował o tym fakcie Apple. Koncern potwierdził problem i zapewnił, że naprawi go w nadchodzącej aktualizacji. Nie odpowiedział jednak na pytanie o harmonogram naprawy, a także czy odkrycie kwalifikuje się do programu polowania na błędy. Specjalista liczył na to, że za odkrycie tak groźnej luki otrzyma odpowiednie wynagrodzenie, jednak nie doczekał się odpowiedzi.

Uznał więc, że nie będzie dłużej czekał i opublikował swe odkrycie. To wywołało reakcję koncernu, który zapewnił, że przygląda się problemowi i szuka jego rozwiązania.

AirTag

Źródło

You may also like...