jab\u0142ko<\/p>\n
Najnowsze problemy bezpiecze\u0144stwa firmy Apple s\u0105 zar\u00f3wno druzgoc\u0105ce, jak i \u015bmieszne. W zesz\u0142ym tygodniu dowiedzieli\u015bmy si\u0119, \u017ce firma za\u0142ata\u0142a luk\u0119 w systemie macOS w najbardziej leniwy mo\u017cliwy spos\u00f3b<\/a>, a teraz firma ma do czynienia z reakcj\u0105 na amatorsk\u0105 luk\u0119 w zabezpieczeniach AirTags, o kt\u00f3rej wiadomo od miesi\u0119cy i nigdy nie zada\u0142a sobie trudu, aby j\u0105 naprawi\u0107.<\/p>\n AirTags to ma\u0142e trackery, kt\u00f3re przyczepiaj\u0105 si\u0119 do plecak\u00f3w, torebek, baga\u017cu i innych warto\u015bciowych przedmiot\u00f3w. Je\u015bli kto\u015b zgubi swoj\u0105 torb\u0119 wyposa\u017con\u0105 w AirTag, mo\u017ce \u015bledzi\u0107 jej lokalizacj\u0119 za pomoc\u0105 sieci Find My, kt\u00f3ra jest anonimowo zasilana przez iPhone’y i inne urz\u0105dzenia Apple.<\/p>\n Ale najcz\u0119\u015bciej zagubione artyku\u0142y s\u0105 znajdowane przez nieznajomych. Dlatego AirTags maj\u0105 \u201etryb utracony”, ustawienie, kt\u00f3re pozwala Dobrym Samarytanom zeskanowa\u0107 tracker, aby zobaczy\u0107 numer telefonu jego w\u0142a\u015bciciela. Skanowanie jest proste \u2014 wystarczy dotkn\u0105\u0107 AirTag swoim iPhonem.<\/p>\n Niestety, b\u0142\u0105d konstrukcyjny w AirTags mo\u017ce zmieni\u0107 trackery w tanie narz\u0119dzia do atak\u00f3w typu drop. Jak odkry\u0142 badacz bezpiecze\u0144stwa Bobby Rauch<\/a>, Apple nie oczyszcza pola wprowadzania numeru telefonu, kt\u00f3re w\u0142a\u015bciciele AirTag wype\u0142niaj\u0105 podczas konfigurowania swoich tracker\u00f3w. W tym polu mo\u017cesz umie\u015bci\u0107 wszystko, w tym z\u0142o\u015bliwy kod.<\/p>\n I to jest du\u017cy problem. Kiedy skanujesz zgubiony AirTag, przekazuje on Twojemu iPhone’owi \u201enumer telefonu”. Tw\u00f3j iPhone nast\u0119pnie osadza \u201enumer telefonu” na stronie https:\/\/found.apple.com\/<\/a>. Je\u015bli wi\u0119c zgubione pole numeru telefonu AirTag jest pe\u0142ne z\u0142o\u015bliwego kodu XSS, witryna Apple go osadzi, bez zadawania pyta\u0144.<\/p>\n Ta luka sprawia, \u017ce \u200b\u200bukierunkowane pr\u00f3by phishingu s\u0105 niezwykle \u0142atwe. Haker mo\u017ce zaprogramowa\u0107 fa\u0142szyw\u0105 skrzynk\u0119 logowania do iCloud, kt\u00f3ra poka\u017ce si\u0119, na przyk\u0142ad, gdy ich \u201ezagubiony” AirTag zostanie zeskanowany. Nast\u0119pnie mogliby umie\u015bci\u0107 AirTag w pobli\u017cu samochodu ofiary lub drzwi wej\u015bciowych, aby upewni\u0107 si\u0119, \u017ce zostanie wykryty i zeskanowany.<\/p>\n Hakerzy mog\u0105 r\u00f3wnie\u017c wykorzysta\u0107 t\u0119 luk\u0119, aby uruchomi\u0107 oparte na przegl\u0105darce exploity zero-day na iPhonie. Exploity te mog\u0105 spowodowa\u0107 awari\u0119 lub uszkodzenie iPhone’a, ale szczerze m\u00f3wi\u0105c, taki exploit nie przyniesie korzy\u015bci hakerowi (a s\u0105 znacznie prostsze sposoby<\/a> na dostarczanie takich exploit\u00f3w).<\/p>\n Bobby Rauch, badacz, kt\u00f3ry odkry\u0142 t\u0119 luk\u0119, zg\u0142osi\u0142 j\u0105 Apple 20 czerwca. Firma sp\u0119dzi\u0142a trzy miesi\u0105ce, m\u00f3wi\u0105c Rauchowi, \u017ce bada problem, i odm\u00f3wi\u0142a mu odpowiedzi, czy otrzyma kredyt lub nagrod\u0119 za swoje odkrycie (s\u0105 to standardowe nagrody za \u015bledzenie programu bug bounty firmy Apple<\/a> ).<\/p>\n Apple poprosi\u0142 Raucha, aby nie \u201ewycieka\u0142” b\u0142\u0119du, ale odm\u00f3wi\u0142 wsp\u00f3\u0142pracy z nim ani przedstawienia harmonogramu \u0142atki. Ostrzeg\u0142 firm\u0119, \u017ce po 90 dniach upubliczni t\u0119 luk\u0119, i ostatecznie zrobi\u0142 to w po\u015bcie na blogu Medium<\/a>. Mimo to Apple nie skomentowa\u0142 publicznie problemu, chocia\u017c wcze\u015bniej powiedzia\u0142 Rauchowi, \u017ce zamierza rozwi\u0105za\u0107 problem.<\/p>\n Technicznie rzecz bior\u0105c, powinno to by\u0107 bardzo \u0142atwe rozwi\u0105zanie. Apple nie musi przesy\u0142a\u0107 aktualizacji dla iPhone’a lub AirPods; wystarczy, \u017ce strona https:\/\/found.apple.com\/<\/a> oczy\u015bci przychodz\u0105ce \u201enumery telefon\u00f3w”. Ale mam nadziej\u0119, \u017ce Apple podejmie kroki, aby ca\u0142kowicie rozwi\u0105za\u0107 ten problem. Firma wci\u0105\u017c pope\u0142nia g\u0142upie b\u0142\u0119dy i wciska na wp\u00f3\u0142 \u0142atki<\/a> na rzeczy, kt\u00f3re powinny by\u0107 bezpieczne w momencie premiery.<\/p>\n Nie wspominaj\u0105c o tym, \u017ce Apple odmawia komunikacji<\/a> z osobami, kt\u00f3re pr\u00f3buj\u0105 zg\u0142osi\u0107 problemy za po\u015brednictwem oficjalnego programu bug bounty. Je\u015bli Apple powa\u017cnie podchodzi do kwestii bezpiecze\u0144stwa, musi szybko wyeliminowa\u0107 luki w oprogramowaniu i zacz\u0105\u0107 traktowa\u0107 ekspert\u00f3w ds. bezpiecze\u0144stwa z szacunkiem. W ko\u0144cu wielu z tych ekspert\u00f3w ds. Bezpiecze\u0144stwa wykonuje prac\u0119 Apple za darmo.<\/p>\n Ta wiadomo\u015b\u0107 nie powinna zniech\u0119ca\u0107 do skanowania AirTag\u00f3w, ale powinna zwi\u0119kszy\u0107 czujno\u015b\u0107. Je\u015bli na przyk\u0142ad po zeskanowaniu AirTag zostaniesz poproszony o zalogowanie si\u0119 do iCloud lub innego konta, oznacza to, \u017ce co\u015b jest nie tak \u2014 Apple nie prosi o \u017cadne dane logowania, gdy skanowany jest prawid\u0142owy AirTag.<\/p>\n AirTag pozostawiony sam jest tak\u017ce czerwon\u0105 flag\u0105\u2026 w pewnym sensie. Poniewa\u017c te trackery nie maj\u0105 wbudowanych p\u0119tli do breloczk\u00f3w, mog\u0105 wypa\u015b\u0107 z toreb lub uciec z tanich kabur. W wi\u0119kszo\u015bci przypadk\u00f3w samotny AirTag jest wynikiem nieostro\u017cno\u015bci.<\/p>\n W ka\u017cdym razie nikt nie zmusza ci\u0119 do skanowania AirTags. Je\u015bli znajdziesz zgubiony przedmiot z AirTag i nie czujesz si\u0119 komfortowo zeskanowany, mo\u017cesz zabra\u0107 go do Apple Store (lub na posterunek policji) i sprawi\u0107, by by\u0142 to ich problem. Po prostu wiedz, \u017ce prawdopodobnie nie zaszkodzi go zeskanowa\u0107, o ile nie wpiszesz \u017cadnych danych logowania w wyskakuj\u0105cym okienku przegl\u0105darki AirTags.<\/p>\n \u0179r\u00f3d\u0142o: Bobby Rauch<\/a> przez Krebs on Security<\/a>, Ars Technica<\/a><\/p>\nAirTags nie oczyszczaj\u0105 \u201enumer\u00f3w telefon\u00f3w"<\/h2>\n
Miesi\u0105ce sp\u0119dzane przez Apple siedz\u0105c na r\u0119kach<\/h2>\n
Czy skanowanie AirTag\u00f3w jest bezpieczne?<\/h2>\n