Dobrý skutek může být potrestán. Snahu vrátit AirTag lze zneužít

Dobrý skutek může být potrestán. Snahu vrátit AirTag lze zneužít
Fotografie: Apple
  • Pole pro telefonní číslo může obsahovat škodlivý kód
  • Uživatele tak lze přesměrovat na jiné stránky
  • Tam může číhat malware nebo falešné přihlašovací okno
  • Apple na nápravě pracuje

Funkce chytrého přívěsku AirTag mohou být vedle nudného hledání ztracených klíčů i pořádně dobrodružné. Je však jasné, že každé takové zařízení obsahuje schopnosti, na které si brousí zuby hackeři nejrůznějšího druhu. Nedlouho po uvedení se objevily informace, že se podařilo hacknout firmware takovým způsobem, který jde zneužít poměrně zásadním způsobem.

Tuto zranitelnost naštěstí objevil bezpečnostní expert, takže ji nahlásil Applu a dal mu obvyklý limit 90 dní na opravu. Podle 9to5mac.com Apple nereagoval patřičným způsobem. Nejenže nevyplatil slíbenou odměnu, ale také doposud chybu neopravil. Vývojář proto na medium.com zveřejnil podrobný návod, jak předělat AirTag na hackerskou zbraň.

Pokud je nějaký přívěsek Applu označen jako ztracený, pak po naskenování NFC zobrazuje mimo jiné telefonní číslo jeho majitele, aby bylo možné se s ním snadno spojit. Toto pole však není chráněno před injektáží XSS kódu, jak se tento postup nazývá. Pak stačí nahradit přesměrování na původní stránky found.apple.com libovolnou jinou adresou. Na ní se může skrývat škodlivý kód anebo podvržené přihlašovací okno do iCloudu.

Dobrý samaritán, který se snaží o navrácení předmětu s takto upraveným AirTagem, tak nevědomky odevzdá svoje citlivé údaje útočníkovi. Poté může být přesměrován zpět na legitimní stránky, aniž by si něčeho všiml. Apple podle svého vyjádření o problému ví a pracuje na jeho nápravě.

Související články
Diskuze ke článku
V diskuzi zatím nejsou žádné příspěvky. Přidejte svůj názor jako první.
Přidat názor

Nejživější diskuze