Маленькие милые троянчики

У Apple есть AirTag — небольшое отслеживающее устройство с логотипом, которое можно прикрепить к, например, ключам. Если ключи потеряются, можно будет включить режим утери. В таком случае обнаруживший устройство человек сможет просканировать находку телефоном и увидеть номер телефона владельца, чтобы с ним связаться.

Оказывается, можно сделать так, что доброхот увидит не номер, а фишинговую страницу iCloud или ещё какой-нибудь зловредный сайт. Причём сделать это очень просто: Apple не запрещает владельцу ЭйрТэга вставить в поле "мобильный телефон" совершенно любой код. Такие вот маленькие милые троянчики.

Исследователь, сообщивший в компанию об этой уязвимости, предупредил её, что опубликует свою находку через 90 дней после этого. Около месяца компания отвечала отписками, а затем пообещала устранить уязвимость в "грядущих релизах" и проигнорировала вопросы о том, получит ли исследователь награду по bug bounty. Коммуникация, конечно, оставляет желать лучшего.