Omena<\/p>\n
Applen uusimmat tietoturvaongelmat ovat sek\u00e4 tuhoisia ett\u00e4 naurettavia. Viime viikolla saimme tiet\u00e4\u00e4, ett\u00e4 yritys korjasi macOS-hy\u00f6dynt\u00e4misen laiskimmalla mahdollisella tavalla<\/a>, ja nyt yritys kohtaa vastareaktion amat\u00f6\u00f6rim\u00e4isen AirTags-haavoittuvuuden vuoksi, joka on ollut tiedossa kuukausia ja jota ei ole koskaan vaivautunut korjaamaan.<\/p>\n AirTags ovat pieni\u00e4 seurantalaitteita, jotka kiinnitet\u00e4\u00e4n reppuihin, kukkaroihin, matkatavaroihin ja muihin arvotavaroihin. Jos joku kadottaa AirTagilla varustetun laukkunsa, h\u00e4n voi seurata sen sijaintia Find My -verkon avulla, jota anonyymisti k\u00e4ytt\u00e4v\u00e4t iPhonet ja muut Applen laitteet.<\/p>\n Mutta useimmiten tuntemattomat l\u00f6yt\u00e4v\u00e4t kadonneet artikkelit. T\u00e4st\u00e4 syyst\u00e4 AirTagsissa on "kadonnut tila", asetus, jonka avulla laupiaat samarialaiset voivat skannata seurantalaitteen n\u00e4hd\u00e4kseen sen omistajan puhelinnumeron. Skannaus on helppoa \u2013 kosketat vain AirTagia iPhonellasi.<\/p>\n Valitettavasti AirTagin suunnitteluvirhe voi muuttaa seurantalaitteet halvoiksi ty\u00f6kaluiksi pudotushy\u00f6kk\u00e4yksi\u00e4 varten. Kuten tietoturvatutkija Bobby Rauch<\/a> havaitsi, Apple ei puhdista puhelinnumeron sy\u00f6tt\u00f6kentt\u00e4\u00e4, jonka AirTag-omistajat t\u00e4ytt\u00e4v\u00e4t j\u00e4ljitt\u00e4ji\u00e4\u00e4n m\u00e4\u00e4ritt\u00e4ess\u00e4\u00e4n. Voit liitt\u00e4\u00e4 t\u00e4h\u00e4n kentt\u00e4\u00e4n mit\u00e4 tahansa, mukaan lukien haitallisen koodin.<\/p>\n Ja se on iso ongelma. Kun skannaat kadonneen AirTagin, se antaa sen omistajan "puhelinnumeron" iPhonellesi. T\u00e4m\u00e4n j\u00e4lkeen iPhone upottaa "puhelinnumeron" https:\/\/found.apple.com\/<\/a> -verkkosivulle. Joten jos kadonneen AirTagin puhelinnumerokentt\u00e4 on t\u00e4ynn\u00e4 haitallista XSS-koodia, Applen verkkosivusto upottaa sen ilman kysymyksi\u00e4.<\/p>\n T\u00e4m\u00e4 haavoittuvuus tekee kohdistetuista tietojenkalasteluyrityksist\u00e4 eritt\u00e4in helppoa. Hakkeri voi ohjelmoida v\u00e4\u00e4rennetyn iCloud-kirjautumislaatikon, joka tulee n\u00e4kyviin, kun h\u00e4nen "kadonnut" AirTag-merkkins\u00e4 skannataan esimerkiksi. He voisivat sitten asettaa t\u00e4m\u00e4n AirTagin l\u00e4helle uhrin autoa tai etuovea varmistaakseen, ett\u00e4 se l\u00f6ydet\u00e4\u00e4n ja skannataan.<\/p>\n Hakkerit voivat my\u00f6s k\u00e4ytt\u00e4\u00e4 t\u00e4t\u00e4 haavoittuvuutta k\u00e4ynnist\u00e4\u00e4kseen selainpohjaisia \u200b\u200bnollap\u00e4iv\u00e4hy\u00f6kk\u00e4yksi\u00e4 iPhonessa. N\u00e4m\u00e4 hyv\u00e4ksik\u00e4yt\u00f6t voivat kaataa iPhonesi tai est\u00e4\u00e4 sen, mutta rehellisyyden nimiss\u00e4 t\u00e4llainen hyv\u00e4ksik\u00e4ytt\u00f6 ei todellakaan hy\u00f6dytt\u00e4isi hakkereita (ja on paljon helpompiakin tapoja<\/a> toteuttaa t\u00e4llaisia \u200b\u200bhyv\u00e4ksik\u00e4ytt\u00f6j\u00e4).<\/p>\n T\u00e4m\u00e4n haavoittuvuuden l\u00f6yt\u00e4nyt tutkija Bobby Rauch ilmoitti siit\u00e4 Applelle 20. kes\u00e4kuuta. Yritys kertoi Rauchille kolme kuukautta, ett\u00e4 se tutkii asiaa, ja kielt\u00e4ytyi kertomasta h\u00e4nelle, saako h\u00e4n hyvityst\u00e4 tai palkkiota l\u00f6yd\u00f6st\u00e4\u00e4n (n\u00e4m\u00e4 ovat tavallisia palkkioita Applen bugipalkkioohjelman<\/a> seuraamisesta ).<\/p>\n Apple pyysi Rauchia olemaan "vuotamatta" vikaa, mutta kielt\u00e4ytyi yhteisty\u00f6st\u00e4 h\u00e4nen kanssaan tai antamasta aikajanaa korjaustiedostolle. H\u00e4n varoitti yrityst\u00e4, ett\u00e4 h\u00e4n julkistaisi haavoittuvuuden 90 p\u00e4iv\u00e4n kuluttua, ja lopulta teki niin Medium-blogiviestiss\u00e4<\/a>. Apple ei kuitenkaan ole kommentoinut asiaa julkisesti, vaikka se kertoi aiemmin Rauchille aikovansa korjata ongelman.<\/p>\n Teknisesti ottaen t\u00e4m\u00e4n pit\u00e4isi olla eritt\u00e4in helppo korjata. Applen ei tarvitse p\u00e4ivitt\u00e4\u00e4 iPhonea tai AirPodeja. sen tarvitsee vain saada https:\/\/found.apple.com\/<\/a> verkkosivu puhdistamaan saapuvat "puhelinnumerot". Mutta toivon, ett\u00e4 Apple ryhtyy toimiin ratkaistakseen t\u00e4m\u00e4n ongelman kokonaan. Yritys tekee jatkuvasti typeri\u00e4 virheit\u00e4 ja ty\u00f6nt\u00e4\u00e4 puoliper\u00e4isi\u00e4 korjaustiedostoja<\/a> asioille, joiden olisi pit\u00e4nyt olla turvallisia julkaisun yhteydess\u00e4.<\/p>\n Puhumattakaan Apple kielt\u00e4ytyy kommunikoimasta<\/a> ihmisten kanssa, jotka yritt\u00e4v\u00e4t ilmoittaa ongelmista virallisen bugipalkkio-ohjelmansa kautta. Jos Apple suhtautuu tietoturvaan vakavasti, sen on puututtava ohjelmiston haavoittuvuuksiin nopeasti ja alettava kohdella tietoturvaasiantuntijoita kunnioittavasti. Loppujen lopuksi monet n\u00e4ist\u00e4 tietoturva-asiantuntijoista tekev\u00e4t Applen ty\u00f6t\u00e4 ilmaiseksi.<\/p>\n N\u00e4iden uutisten ei pit\u00e4isi est\u00e4\u00e4 sinua skannaamasta AirTageja, vaikka niiden pit\u00e4isi tehd\u00e4 sinusta valppaampi. Jos sinua pyydet\u00e4\u00e4n kirjautumaan sis\u00e4\u00e4n iCloudiin tai muuhun tiliin esimerkiksi AirTagin skannauksen j\u00e4lkeen, jotain on vialla \u2013 Apple ei kysy kirjautumistietoja, kun laillinen AirTag skannataan.<\/p>\n Itsekseen j\u00e4tetty AirTag on my\u00f6s punainen lippu\u2026 tavallaan. Koska n\u00e4iss\u00e4 seurantalaitteissa ei ole sis\u00e4\u00e4nrakennettuja avainnippusilmukoita, ne voivat pomppia ulos pusseista tai paeta halvoista koteloista. Useimmissa tapauksissa yksin\u00e4inen AirTag on seurausta huolimattomuudesta.<\/p>\n Joka tapauksessa kukaan ei pakota sinua skannaamaan AirTageja. Jos l\u00f6yd\u00e4t kadonneen esineen, jossa on AirTag, etk\u00e4 halua skannata sit\u00e4, voit vied\u00e4 sen Apple Storeen (tai poliisiasemalle, luulisin) ja tehd\u00e4 siit\u00e4 heid\u00e4n ongelmansa. Tied\u00e4 vain, ett\u00e4 sen skannaamisesta ei todenn\u00e4k\u00f6isesti ole haittaa, kunhan et kirjoita kirjautumistietoja AirTags-selaimen ponnahdusikkunaan.<\/p>\n L\u00e4hde: Bobby Rauch<\/a> Krebs on Securityn<\/a> kautta, Ars Technica<\/a><\/p>\nAirTags eiv\u00e4t puhdista "puhelinnumeroita"<\/h2>\n
Apple vietti kuukausia k\u00e4siens\u00e4 p\u00e4\u00e4ll\u00e4<\/h2>\n
Onko AirTagien skannaus turvallista?<\/h2>\n