Výskumná spoločnosť KrebsOnSecurity vo svojej poslednej správe upozorňuje, že funkcia AirTagu, ktorá umožňuje jeho naskenovanie do akéhokoľvek smartfónu s NFC môže byť pomerne jednoducho zneužitá phishingovým útokom.
Aby sme to vysvetlili lepšie, pokiaľ nájdete na zemi cudzí AirTag (napríklad na zväzku kľúčov), jeho priložením ku vášmu iPhonu rýchlo získate kontaktné informácie na vlastníka.
Pokiaľ ho majiteľ stihol prepnúť do režimu „Stratené„, AirTag automaticky generuje URL adresu pre stránku https://found.apple.com, do ktorej môže zadať svoje telefónne číslo alebo e-mailovú adresu.
Ak teda AirTag naskenuje niekto cudzí, automaticky sa dostane k týmto dátam bez nutnosti akéhokoľvek prihlasovania do iCloudu alebo inej služby. To je všetko v poriadku…
Chyba, ktorá môže narobiť problémy
Podľa KrebsOnSecurity však režim Stratené ponúka používateľom možnosť vloženia ľubovolného počítačového kódu do poľa s telefónnym číslom, čo znamená, že osoba, ktorá naskenuje AirTag môže byť presmerovaná na falošnú prihlasovaciu stránku iCloud alebo iný škodlivý web (napríklad na sociálnu sieť).
Ak by sem takáto obeť zadala svoje prihlasovacie meno (e-mail) a heslo z nevedomosti, automaticky by to mohol šikovný hacker z pohodlia domova zneužiť vo svoj prospech.
Túto chybu objavil bezpečnostný poradca Bobby Raunch, ktorý vo svojej správe doplnil, že ak je možné takýmto jednoduchým spôsobom zneužívať AirTag, jeho používanie nie je bezpečné.
Predpokladáme, že si Apple uvedené informácie vezme k srdcu a všetky nedostatky v dohľadnej dobe odstráni (ak to už neurobilo v predošlých aktualizáciách firmvéru).
No a pre bežných používateľov platí jedno zlaté pravidlo a to to, že pokiaľ vás AirTag vyzve na zadanie akýchkoľvek prihlasovacích údajov, určite to nerobte. Tento výrobok ich má zobrazovať a nie kradnúť…