En allvarlig bugg i AirTag gör att en borttappad enhet kan skicka upphittare till skadliga webbsajter.
Den som låter sig luras kan bli av med betalkortsinformation och inloggningsuppgifter. Det är säkerhetsforskaren Bobby Rauch som hittat sårbarheten i Apples AirTag.
Läs mer: Advokat spårade hemlösas prylar med Apple AirTags – avslöjade lagbrott
Buggen aktiveras när AirTags rapporteras som borttappade
Webbsajten Krebs on Security rapporterar att sårbarheten visar sig när en AirTag placeras i borttappat läge.
Apple skapar då en unik länk på domänen found.apple.com. Där kan den som tappat sin AirTag visa ett speciellt meddelande som visas på upphittarens mobiltelefon.
Exempelvis namn och telefonnummer om man väljer att visa det.
Problemet? Fältet för e-post har inga begränsningar för vad man kan skriva in. Vilket betyder att både html och javascript fungerar.
Det betyder kort och enkelt att den som är riktigt lömsk kan tvinga upphittaren att öppna skadliga webbsajter, som nätfiskesidor, i webbläsaren – och inte ett meddelande med namn och mejladress.
Sannolikheten att en vanlig person skulle drabbas är inte speciellt stor. Risken är istället att utvalda måltavlor, som politiker och meningsmotståndare, drabbas. Eller för industrispionage.
Läs mer: Varning: Batteriet i Apple AirTag kan vara åtkomlig för barn
Hård kritik mot Apples hantering av buggjägare
Och nu riktas hård kritik mot Apple. Inte bara för att sårbarheten slank igenom kontrollerna, utan för att säkerhetsforskaren som hittade buggen inte togs om hand på rätt sätt.
Bobby Rauch kontaktade Apple i slutet av juni och gav företaget 90 dagar på sig att fixa problemet innan han publicerade detaljerna för alla att beskåda. Svaret från Apple var att de skulle undersöka hans fynd.
Apple väntade till fem dagar efter tidsfristen löpt ut med att kontakta Bobby igen. Då meddelades att sårbarheten skulle fixas med en uppdatering, och han ombads att inte publicera offentliga detaljer om buggen.
Bobby svarade med att han ville veta när uppdateringen skulle släppas och om hans fynd omfattas av buggjagarprogrammet som belönar den som rapporterar buggar.
När Apple inte ville svara på frågorna valde Bobby att publicera alla uppgifter som en protest mot företagets hantering av situationen. Och han är inte ensam om att rikta hård kritik mot hur Apple behandlar de som skickar in buggrapporter.
Läs mer: Apple AirTag hackad – kan bli en stor säkerhetsrisk
Kritik mot Apple gjorde att sårbarheter blev offentliga
En annan säkerhetsforskare, Denis Tokarev, publicerade nyligen information om flera allvarliga sårbarheter som Apple vägrat fixa i flera månader. Först efter offentliggörandet och medias rapportering om nyheten så kontaktades Denis av Apple.
”We saw your blog post regarding this issue and your other reports. We apologize for the delay in responding to you,” an Apple employee wrote. ”We want to let you know that we are still investigating these issues and how we can address them to protect customers. Thank you again for taking the time to report these issues to us, we appreciate your assistance. Please let us know if you have any questions.”
En av tre sårbarheter är fixade idag, men utan att Apple gav Denis Tokarev någon ära för fyndet.
Om det är bristande hantering av rapporter, slapphet eller bara ren ignorans från Apples sida får vi nog aldrig veta. Men klart är att många ogillar hur företaget ser på buggrapporter och buggjägare. Frågan är – bryr sig Apple?