O AirTag foi lançado em abril passado com uma série de recursos com o intuito de impedir que você perca um objeto rastreado pelo acessório. No entanto, um desses recursos, o Modo Perdido, pode acabar sendo utilizado para fins maliciosos.
Quando escaneado, um AirTag em Modo Perdido exibe uma mensagem personalizada pelo usuário que o perdeu. Essa mensagem inclui também uma informação de contato, a qual, segundo o consultor de segurança Bobby Rauch, pode facilmente incluir um link/endereço malicioso escondido.
Como o sistema do AirTag não requer uma autenticação ou login antes de as informações de contato da pessoa que perdeu o objeto aparecerem, a pessoa que o achou pode facilmente clicar/tocar em um endereço malicioso. Esse endereço pode ser, por exemplo, uma página falsa de login do iCloud com o intuito de roubar as credenciais do bom samaritano que achou o AirTag.
Em um vídeo do YouTube, Rauch mostra como pessoas mal intencionadas podem esconder um link malicioso no campo de número de telefone. O endereço poderia levar usuários a uma página como essa:
A vulnerabilidade foi descoberta e relatada à Apple em junho. Em entrevista ao Krebs on Security, Rauch disse que a brecha do AirTag transforma dispositivos em transmissores de malwares baratos e eficazes.
Em um email a Rauch, a Apple pediu discrição por parte do consultor e disse que lançará uma correção para o problema em uma futura atualização.
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos/serviços usando os nossos links de afiliado.
