Funkce chytrého přívěsku AirTag mohou být vedle nudného hledání ztracených klíčů i pořádně dobrodružné. Je však jasné, že každé takové zařízení obsahuje schopnosti, na které si brousí zuby hackeři nejrůznějšího druhu. Nedlouho po uvedení se objevily informace, že se podařilo hacknout firmware takovým způsobem, který jde zneužít poměrně zásadním způsobem.
Tuto zranitelnost naštěstí objevil bezpečnostní expert, takže ji nahlásil Applu a dal mu obvyklý limit 90 dní na opravu. Podle 9to5mac.com Apple nereagoval patřičným způsobem. Nejenže nevyplatil slíbenou odměnu, ale také doposud chybu neopravil. Vývojář proto na medium.com zveřejnil podrobný návod, jak předělat AirTag na hackerskou zbraň.
Pokud je nějaký přívěsek Applu označen jako ztracený, pak po naskenování NFC zobrazuje mimo jiné telefonní číslo jeho majitele, aby bylo možné se s ním snadno spojit. Toto pole však není chráněno před injektáží XSS kódu, jak se tento postup nazývá. Pak stačí nahradit přesměrování na původní stránky found.apple.com libovolnou jinou adresou. Na ní se může skrývat škodlivý kód anebo podvržené přihlašovací okno do iCloudu.
Dobrý samaritán, který se snaží o navrácení předmětu s takto upraveným AirTagem, tak nevědomky odevzdá svoje citlivé údaje útočníkovi. Poté může být přesměrován zpět na legitimní stránky, aniž by si něčeho všiml. Apple podle svého vyjádření o problému ví a pracuje na jeho nápravě.
