| 29 сен 2021 — 4:31 утра PT
Исследователь безопасности продемонстрировал, что AirTags могут быть использованы как оружие путем внедрения кода в поле номера телефона перед переводом устройства в режим пропажи и оставлением его в стратегических местах. Apple подтвердила эту находку.
Когда кто-то находит AirTag и сканирует его, он будет перенаправлен на веб-сайт по выбору злоумышленника, который может включать поддельный вход в iCloud для сообщения о находке…
Консультант по безопасности из Бостона Бобби Раух обнаружил уязвимость еще в июне, уведомил Apple и заявил, что даст компании 90 дней перед публичным раскрытием информации об ошибке. Этот 90-дневный период является общепринятой практикой в сфере безопасности, давая компании достаточно времени для выпуска исправления и одновременно стимулируя ее сделать это оперативно.
Однако он заявил, что Apple не устранила проблему в течение 90-дневного периода, а также не сообщила ему, когда это будет сделано, будет ли он упомянут в титрах и получит ли вознаграждение за обнаружение ошибки. Соответственно, он раскрыл информацию об уязвимости.
Apple подверглась критике со стороны сообщества информационной безопасности за то, как она реагирует на сообщения об уязвимостях нулевого дня.
Как AirTags могут быть использованы как оружие
Когда кто-то находит AirTag, прикрепленный к предмету, он может отсканировать его своим iPhone или Android-телефоном. Это отобразит номер телефона, введенный владельцем, а также направит его по персонализированной ссылке на https://found.apple.com, которая позволит уведомить владельца.
Однако, как обнаружил Раух, возможно внедрение XSS-кода в поле номера телефона.
Злоумышленник может осуществить Stored XSS на странице https://found.apple.com, внедрив вредоносный полезный код в поле номера телефона AirTag в режиме «Утерян». Жертва будет полагать, что ее просят войти в iCloud, чтобы связаться с владельцем AirTag, хотя на самом деле злоумышленник перенаправит ее на страницу, предназначенную для кражи учетных данных.
Это приведет к тому, что добрый самаритянин, отсканировавший AirTag, будет перенаправлен на другой веб-сайт. Вероятным вариантом будет фишинговая атака с использованием клона настоящего сайта, который попросит войти, используя учетные данные iCloud. Если нашедший отсканирует метку своим iPhone, он может ничего не заподозрить, войти и потерять свои учетные данные. Если поддельный веб-сайт затем перенаправит его обратно на реальный, он может совершенно не подозревать, что что-то не так.
Раух утверждает, что могут быть внедрены и другие коды.
Также могут быть осуществлены другие XSS-эксплойты, такие как перехват сессионных токенов, кликджекинг и многое другое. Злоумышленник может создавать «вооруженные» AirTags и оставлять их, становясь жертвами ни в чем не повинных людей, которые просто пытаются помочь кому-то найти потерянный AirTag.
Видео ниже демонстрирует работу эксплойта. Технически подкованный человек, вероятно, заметит, что URL изменился, но настоящий злоумышленник, конечно, приобретет правдоподобно выглядящий домен, чтобы он выглядел менее подозрительно.
Этот тип атаки может быть легко нацелен на конкретных лиц или компании, оставляя метку рядом с их автомобилем на парковке или у их дома.
Apple заявляет, что планирует исправить эту проблему, но дата пока неизвестна, поэтому на данный момент эта уязвимость остается. Если вы найдете AirTag, имейте в виду, что для сообщения о находке не требуется вход в систему.
По материалам Krebsonsecurity