Устройство отслеживания утерянных вещей AirTag от Apple получило функцию Lost Mode, позволяющую любому, кто найдет один из этих крошечных трекеров, просканировать его с помощью NFC со смартфона и узнать номер телефона владельца. Однако, согласно новому исследованию, этой же функцией можно злоупотреблять для перенаправления «Доброго самаритянина» на фишинговую страницу iCloud или на любой другой вредоносный веб-сайт.
Уязвимость обнаружена экспертом по кибернетической безопасности Бобби Раухом. Установка трекера AirTag в режим пропажи создает уникальный URL-адрес и позволяет владельцу ввести личное сообщение и номер контактного телефона. Человек, нашедший AirTag, сможет просканировать его с помощью смартфона (Apple или Android) и обнаружить уникальный URL-адрес Apple с сообщением от владельца.
Раух выявил возможность использования злоумышленниками эксплойт Stored XSS для перенаправления пользователя, переходящего по указанной ссылке, на фишинговый сайт, что может привести к утрате его личных данных.
Компания Apple была оповещена о выявленной уязвимости еще 20 июня. Эксперт предупредил, что если на протяжении 90 дней Apple не предпримет никаких действий, информация о проблеме будет опубликована в открытом доступе. Только в конце сентября Apple отправила Рауху повторное электронное письмо с обещанием устранить уязвимость в предстоящем обновлении. Компания также просила эксперта воздержаться от публичного обсуждения проблемы.
К другим новостям
19.10.2021
Как правило, если рядовой игрок знает о существовании студии Remedy Entertainment, то именно в контексте первых двух частей…
Далее 19.10.2021
Corsair готовится к выпуску троицы систем жидкостного охлаждения iCue Elite LCD H100i, H150i и H170i с радиаторами типоразмера…
Далее 19.10.2021
Немецкая фирма Sharkoon Technologies сообщила о начале поставок игровой клавиатуры Skiller SGK60. Она имеет полный формат с…
Далее 19.10.2021
Тайваньская корпорация Hon Hai Precision Industry, также известная как Foxconn, представила три новых электромобиля на своем…
Далее
