Пристрій Apple AirTag, призначений для кріплення на всілякі речі для подальшого пошуку в разі втрати, дозволяє легко направити громадянина, який виявив його, на сайт, призначений для крадіжки даних для входу в iCloud або завантаження на смартфон довільного шкідливого коду.
Спочатку передбачалося, що пристрій, для якого власник активував т. зв. «Режим пропажі», можна відсканувати за допомогою смартфона на iOS або Android, після чого користувач може побачити номер контактного телефону господаря. Як з'ясувалося, ця функція здатна легко привести на фішингову сторінку або будь-який інший шкідливий сайт.
Включення «Режиму пропажі» генерує унікальний URL на домені found.apple.com і дозволяє власнику ввести персональне повідомлення для знайшов і контактний номер телефону.
Після сканування той, хто знайшов у нормі, побачить коротке повідомлення із закликом зателефонувати. Для перегляду інформації не потрібно вводити власні дані або входити в iCloud, але далеко не всім про це відомо. Більш того, в поле телефонного номера власник AirTag може вносити довільний код.
Уразливість була виявлена бостонським експертом з інформаційної безпеки Боббі Раухом (Bobby Rauch), після чого той зв'язався з Apple в надії на нагороду, досить давно пропоновану компанією за виявлені вразливості. У компанії відповіли, що усунуть її в новому оновленні ПЗ і попросили не поширюватися про виявлену пролом.
Відомо, що програма Apple передбачає виплати до мільйона доларів за знайдені вразливості, але на відповідні питання в Apple вважали за краще відмовчатися, відповівши: «Ми будемо вдячні, якщо ви не будете розповідати про вразливість».
Як повідомляє портал KrebsonSecurity, скарги на «невідкличливість» Apple з'являються не вперше. Компанію звинувачують у повільному усуненні вразливостей і тому, що та далеко не завжди платить винагороди за їх виявлення, а також і зовсім не відповідає на повідомлення про помилки і проблеми в системі безпеки. При цьому в «даркнеті» існує чимало бажаючих заплатити реальні і значні суми тим, хто знайде можливі лазівки.
Втім, високий ризик того, що фахівці, не дочекавшись зворотного зв'язку і заохочення, будуть просто публікувати інформацію у вільному доступі - такі випадки мали місце.
Відомо, що 19 липня Apple усунула вразливість, про яку користувач з ніком illusionofchaos повідомляв ще в квітні. Не дочекавшись нагороди, він опублікував у мережі відомості про три вразливості нульового дня, причому попередження про таку можливість було заздалегідь відправлено Apple, але «доброзичливець» так і не отримав відповіді.