Метка для поиска вещей Apple AirTag была создана для того, чтобы человек, который утратил ее, смог найти с помощью поиска через «Локатор». Также Apple оснастила метку «Режимом потери». Когда он включен, устройство генерирует специальный URL, передающий номер телефона и электронную почту своего владельца.
Новое исследование KrebsOnSecurity подтвердило, что в поле номера телефона «Режим потери» можно вписать любой произвольный код. Он может перенаправлять пользователей на поддельную страницу iCloud, либо на любой другой сайт.
Исследователь уязвимости сообщал компании Apple об баге, и компания попросила его не распространять информацию в массы. Тем не менее прошло уже несколько месяцев после обращения и Apple не ответили на его расспросы про продвижение расследования исправления уязвимости. Поэтому он решил поделиться информацией со СМИ.
Для того чтобы AirTag перенаправил вас на «вредоносный сайт», нужно отсканировать метку. При этом нужно учитывать, что метка без вредоносного программного кода сразу покажет данные, которые предоставил ее владелец, без надобности входить в iCloud или на любые другие сайты.
Источник: MacRumors
