Nuovi pericoli di truffe con AirTag in modalità “Smarrito”: Una bella grana per Apple che corre ai ripari

Lo hanno definito un bug da Buon Samaritano. Con gli AirTag, chiunque disponga di uno smartphone, può scansionare un tracker smarrito per individuare le informazioni di contatto del proprietario. Bastano 30 dollari, d’altronde. Una porta aperta per hacker, le truffe, il phishing. Per questo Apple corre ai ripari.

AirTag, il nuovo dispositivo di localizzazione del colosso di Cupertino (Adobe Stock)
AirTag, il nuovo dispositivo di localizzazione del colosso di Cupertino (Adobe Stock)

Il nuovo dispositivo di localizzazione del colosso di Cupertino, infatti, permette in pratica di scoprire, in maniera relativamente semplice, il numero di telefono del proprietario se l’AirTag viene impostato sulla modalità “smarrito”.

Secondo una nuova ricerca, confermata anche da krebsonsecurity_ “questa stessa funzione può essere abusata per reindirizzare il Buon Samaritano a una pagina di phishing iCloud o a qualsiasi altro sito Web dannoso”.

AirTag, serve un aggiornamento software. Ora!

AirTag, un dispositivo molto utile, anche se nasconde una vulnerabilità pericolosa (Adobe Stock)
AirTag, un dispositivo molto utile, anche se nasconde una vulnerabilità pericolosa (Adobe Stock)

La “Modalità smarrita” dell’AirTag, infatti, consente agli utenti di avvisare Apple quando manca un AirTag. L’impostazione genera un URL univoco all’indirizzo https://found.apple.com e permette all’utente di inserire un messaggio personale e un numero di telefono di contatto. Di fatto, chiunque trovi l’AirTag e lo scansioni con un telefono Apple o Android, vedrà immediatamente quell’URL Apple univoco, con il messaggio del proprietario.

Una volta scansionato, i dispositivi sviluppati da Apple che servono per rintracciare e trovare oggetti di varia natura, presentati nell’evento “Spring Loaded” del 20 aprile 2021 e rilasciati dopo tre giorni, presenteranno un breve messaggio, tramite la modalità “smarrito” che chiede al cercatore di chiamare il proprietario al numero di telefono specificato. Queste informazioni vengono visualizzate senza chiedere di accedere o fornire alcuna informazione personale. Questo, purtroppo, è una minaccia perché suddetta modalità di Apple non impedisce attualmente agli utenti di iniettare codice computer arbitrario nel campo del numero di telefono, ad esempio, il codice che fa sì che il dispositivo del “Buon Samaritano” visiti una falsa pagina di accesso di Apple iCloud.

LEGGI ANCHE >>> iPhone 14 sarà la vera rivoluzione dopo la Generazione X del 2017: Cosa progettano alla Apple?

“Una vulnerabilità pericolosa”. Bobby Raunch, consulente per la sicurezza, colui che ha individuata la minaccia, lancia l’allarme: “Non riesco a ricordare un altro caso – spiega proprio a KrebsOnSecurity – in cui questi piccoli dispositivi di localizzazione di livello consumer a basso costo, come gli AirTag, potrebbero essere usati come armi“. Immaginate uno scenario: un malintenzionato, hacker o cybercriminale che dir si voglia, rilascia un’unità flash USB carica di malware nel parcheggio di un’azienda in cui vuole hackerare. Le probabilità sono che prima o poi qualche dipendente lo prenderà e lo collegherà a un computer, anche solo per vedere cosa c’è dentro. Inutile spiegare cosa succederebbe. Rauch ha contattato Apple lo scorso 20 giugno e, secondo quanto riporta KrebsOnSecurity, la risposta starebbe stata una promessa di affrontare la vulnerabilità in un prossimo aggiornamento.

LEGGI ANCHE >>> The Last of Us diventa uno splendida serie tv targata HBO che piacerà ai fans e non solo

“Ho detto ad Apple – si legge – sono disposto a lavorare con voi se potete fornire alcuni dettagli su quando prevedete di rimediare a questo problema e se ci sarà un riconoscimento o un pagamento tramite bug bounty. Gli dissi anche che avrei pubblicato i risultati dopo 90 giorni se non avessi ricevuto informazioni mi merito”. La risposta insinua il dubbio. “Fondamentalmente mi hanno fatto capire che avrebbero apprezzato molto di non far trapelare queste informazioni”. Appare fin troppo evidente che servirebbe un aggiornamento software. Ora.

Impostazioni privacy