Дослідник в сфері безпеки Боббі Раух (Bobby Rauch) виявив уразливість в пошукових маячки Apple AirTag, яка дозволяє використовувати трекер для крадіжки особистої інформації, включаючи логіни і паролі від iCloud. Проблема полягає в режимі Lost Mode, в який переводиться мітка в разі її зникнення.
Apple дозволяє використовувати сервіс Find My для пошуку і відстеження пристроїв. При цьому створюється унікальна сторінка, що містить серійний номер AirTag, номер телефону або електронну пошту, а також повідомлення власника загубленої мітки. Коли хтось знаходить чужу мітку, він може сканувати її за допомогою свого пристрою і перейти на вказаний URL з інформацією власника AirTag.
Однак зловмисник може ввести довільний код у поле номера телефону. Жертва буде вважати, що її просять увійти в iCloud, щоб зв’язатися з власником AirTag, але насправді його перенаправили на фішингову сторінку для крадіжки облікових даних. В даному випадку можуть бути реалізовані і інші експлойти. Дослідник безпеки вважає, що зловмисники можуть купувати мітки з метою створення фізичних троянів. Таким чином вони будуть «чіпляти» жертв, які просто хочуть допомогти людині знайти AirTag.
Дослідник повідомив Apple про уразливість три місяці тому, але за цей час компанія «вивчала» проблему. І тільки після того, як він зв’язався з відомим експертом з кібербезпеки Брайаном Кребсом (Brian Krebs), Apple пообіцяла виправити її в наступному оновленні ПЗ.