Apple AirTag izleme cihazınızı veya bağlı olduğu öğeyi yanlış yere koyacak kadar şanssızsanız, asla korkmayın. Apple AirTag, bulan herkesin bunu akıllı telefonuyla taramasına ve aygıtınızın size iade edilebilmesi için sahibinin telefon numarasını listeleyen bilgilere götürülmesine olanak tanıyan bir özelliğe sahiptir.
Çok güzel bir özelliği varken hoş olmayan şey, özelliğin kötü amaçlı yazılım göndermek veya bir AirTag’in gerçek sahibini bulmaya çalışan farkında olmayan İyi Samaritan’dan kimlik bilgilerini çalmak için kötüye kullanılabilmesidir.
Güvenlik araştırmacısı ve sızma test uzmanı Bobby Rauch, Apple’dan yeterli yanıt alamayınca güvenlik açığının ayrıntılarını paylaştı.
Rauch’un açıkladığı gibi, Apple şimdiye kadar AirTags’in “Kayıp Modu” işlevinde, bir saldırganın konum izleme cihazı yakın alan iletişimi (NFC) aracılığıyla tarandığında görüntülenen bilgileri silah olarak kullanmasına olanak tanıyan bir güvenlik açığını görmezden geldi.
Kayıp bir AirTag bulan ve akıllı telefonuyla tarayan biri, kendisini https://found.apple.com adresinde , cihazın sahibiyle nasıl iletişim kuracağına dair özel talimatlar içeren bir web sayfasına götürüldüğünü bulur .
Ancak Apple, AirTag’in sahibi tarafından telefon numarası alanına kötü amaçlı bir komut dosyası yerleştirilmesini engellemedi. Telefon numarası alanına yerleştirilen siteler arası komut dosyası kodu, ziyaretçileri sahte bir iCloud giriş sayfasına yönlendirebilir veya kullanıcıları kötü amaçlı bir uygulama indirmeleri için kandırabilir.
Rauch’un açıklaması şu şekilde:”Diğer XSS açıkları, oturum belirteci kaçırma, tıklama ve daha fazlası gibi gerçekleştirilebilir. Bir saldırgan, silahlı AirTag’ler oluşturabilir ve onları etrafta bırakarak, bir kişinin kaybolan AirTag’lerini bulmasına yardım etmeye çalışan masum insanları kurban edebilir.”
Kısacası, güvenlik açığı, bir bilgisayar korsanı tarafından, kötü amaçlı yazılım bulaşmış USB çubuklarını girmek istedikleri bir şirketin otoparkında ortalıkta bırakmaya eşdeğer bir saldırı gerçekleştirmek için istismar edilebilir.
Er ya da geç, birisi AirTag’i bulacak ve gerçek sahibini bulmak için taramaya çalışacak ve sonuç olarak kimlik bilgilerinin çalınmasına veya kötü amaçlı yazılımların yerleştirilmesine neden olabilir.
Yazma sırasında Apple, Haziran ayında Rauch tarafından bu konuda bilgilendirilmesine rağmen kusuru düzeltmedi. Sorun çözülene kadar, kötü niyetli bir bilgisayar korsanının sizi iCloud parolalarınızı teslim etmeniz veya kötü amaçlı yazılım yüklemeniz için kandırmaya çalışması durumunda, kaybolan AirTag’leri tararken dikkatli olun.