جهاز Apple بطاقة الهواءتم تصميمه ليتم إرفاقه بجميع أنواع الأشياء لاسترجاعها لاحقًا في حالة الفقد ، مما يسهل توجيه المواطن الذي يجدها إلى موقع مصمم لسرقة بيانات اعتماد تسجيل الدخول إلى iCloud أو تنزيل رمز ضار عشوائي على هاتف ذكي.
في البداية، كان من المفترض أن الجهاز الذي قام مالكه بتنشيط ما يسمى "الوضع المفقود" يمكن فحصه باستخدام هاتف ذكي يعمل بنظام iOS أو Android، وبعد ذلك يمكن للمستخدم رؤية رقم هاتف جهة الاتصال الخاص بالمضيف. وكما تبين، يمكن أن تؤدي هذه الميزة بسهولة إلى صفحة تصيد أو أي موقع ضار آخر.
يؤدي تمكين "وضع الفقدان" إلى إنشاء عنوان URL فريد على النطاق الموجود.apple.com ويسمح للمالك بإدخال رسالة شخصية للشخص الذي وجد الجهاز ورقم هاتف جهة الاتصال.
بعد الفحص ، يجب أن يرى هذا الشخص بشكل مثالي رسالة قصيرة تحثه على الاتصال. لعرض المعلومات ، لا تحتاج إلى إدخال بياناتك الشخصية أو تسجيل الدخول إلى iCloud ، ولكن لا يعلم الجميع بذلك. علاوة على ذلك ، يمكن لمالك AirTag إدخال أي رمز في حقل رقم الهاتف.
تم اكتشاف الثغرة الأمنية بواسطة خبير أمن المعلومات المقيم في بوسطن بوبي راوخ ، الذي اتصل به Apple على أمل الحصول على مكافأة تقدمها الشركة مقابل اكتشاف نقاط الضعف منذ بعض الوقت. ردت الشركة بأنها ستلغيها في تحديث برنامج جديد وطلبت عدم نشر الكلمة حول المشكلة المكتشفة. من المعروف أن البرنامج Apple ينص على مدفوعات تصل إلى مليون دولار مقابل نقاط الضعف المكتشفة ، ولكن للأسئلة ذات الصلة في Apple ورفض قائلاً: "سنكون ممتنين إذا لم تتحدث عن الثغرة الأمنية".
كما ذكرت بوابة KrebsonSecurity ، فإن الشكاوى حول "عدم الحساسية" Apple لا تظهر للمرة الأولى. تتهم الشركة بالتخلص البطيء من نقاط الضعف وحقيقة أنها لا تدفع دائمًا مكافآت لاكتشافها ، كما أنها لا تستجيب على الإطلاق لتقارير الأخطاء والمشاكل في نظام الأمان. في الوقت نفسه ، في "الشبكة المظلمة" هناك الكثير من المستعدين لدفع مبالغ كبيرة وحقيقية لأولئك الذين يجدون ثغرات محتملة. ومع ذلك ، هناك خطر كبير من أن المتخصصين ، دون انتظار ردود الفعل والتشجيع ، سوف ينشرون المعلومات في حرية الوصول - وقد حدثت مثل هذه الحالات بالفعل.
اقرأ أيضا: