Häkkerid saavad selle lihtsa ärakasutamise abil muuta AirTagid andmepüügimasinateks
Apple
Apple’i uusimad turvaprobleemid on nii laastavad kui ka naeruväärsed. Eelmisel nädalal saime teada, et ettevõte parandas MacOS-i ärakasutamist kõige laisemal võimalikul viisil ja nüüd seisab ettevõte silmitsi amatöörliku AirTagi haavatavusega, millest on teada juba kuid ja mida pole kunagi vaevunud parandama.
AirTags ei puhasta "telefoninumbreid"
AirTags on väikesed jälgimisseadmed, mis kinnitatakse seljakottide, rahakottide, pagasi ja muude väärisesemete külge. Kui keegi kaotab oma AirTagiga varustatud koti, saab ta selle asukohta jälgida, kasutades võrgustikku Find My, mida anonüümselt toidavad iPhone’id ja muud Apple’i seadmed.
Kuid sagedamini leiavad kadunud artiklid üles võõrad. Sellepärast on AirTagil "kadunud režiim", seade, mis võimaldab headel samaarlastel skannida jälgijat, et näha selle omaniku telefoninumbrit. Skannimine on lihtne – puudutate lihtsalt oma iPhone’iga AirTagi.
Kahjuks võib AirTagi disainiviga muuta jälgijad odavateks tööriistadeks kukkumisrünnakute jaoks. Nagu turvauurija Bobby Rauch avastas, ei desinfiteeri Apple telefoninumbri sisestusvälja, mille AirTagi omanikud jälgijate seadistamisel täidavad. Sellele sisestusväljale saate kleepida kõike, sealhulgas pahatahtlikku koodi.
Ja see on suur probleem. Kui skannite kadunud AirTagi, annab see teie iPhone’ile selle omaniku telefoninumbri. Seejärel manustab teie iPhone telefoninumbri veebisaidile https://found.apple.com/ . Nii et kui kadunud AirTagi telefoninumbri väli on täis pahatahtlikku XSS-koodi, manustab Apple’i veebisait selle ilma küsimusi esitamata.
See haavatavus muudab sihitud andmepüügikatsed äärmiselt lihtsaks. Häkker saab programmeerida võltsitud iCloudi sisselogimiskasti, mis kuvatakse näiteks siis, kui nende "kadunud" AirTag skaneeritakse. Seejärel võivad nad selle AirTagi asetada ohvri auto või välisukse lähedusse, et tagada selle avastamine ja skaneerimine.
Häkkerid võivad seda haavatavust kasutada ka brauseripõhiste nullpäevade ärakasutamise käivitamiseks iPhone’is. Need ärakasutamised võivad teie iPhone’i kokku kukkuda või rikkuda, kuid ausalt öeldes ei oleks selline ärakasutamine häkkerile kasulik (ja selliste rünnakute edastamiseks on palju lihtsamaid viise ).
Apple istus kuude kaupa kätel
Selle haavatavuse avastanud teadlane Bobby Rauch teatas sellest Apple’ile 20. juunil. Ettevõte veetis kolm kuud Rauchile teatades, et ta uurib probleemi, ja keeldus talle ütlemast, kas ta saab avastuse eest krediiti või preemiat (need on tavalised preemiad Apple’i vigade hüvitamise programmi järgimise eest ).
Apple palus Rauchil viga mitte "lekitada", kuid keeldus temaga koostööd tegemast ega plaastri ajakava andmast. Ta hoiatas ettevõtet, et avalikustab haavatavuse 90 päeva pärast, ja tegi seda lõpuks keskmise ajaveebi postituses. Sellegipoolest ei ole Apple seda probleemi avalikult kommenteerinud, kuigi ütles varem Rauchile, et kavatseb probleemi lahendada.
Tehniliselt öeldes peaks see olema väga lihtne lahendus. Apple ei pea iPhone’i ega AirPodide jaoks värskendusi suruma; see peab lihtsalt panema https://found.apple.com/ veebilehe sissetulevad telefoninumbrid desinfitseerima. Kuid ma loodan, et Apple astub samme selle probleemi täielikuks lahendamiseks. Ettevõte teeb pidevalt rumalaid vigu ja surub poolikuid plaastreid asjadele, mis oleksid pidanud turuletoomisel turvalised olema.
Rääkimata sellest, et Apple keeldub suhtlemast inimestega, kes üritavad oma ametliku vigade haldamise programmi kaudu probleemidest teada anda. Kui Apple suhtub turvalisusesse tõsiselt, peab ta tarkvara haavatavustega kiiresti tegelema ja hakkama turvaeksperte austusega kohtlema. Lõppude lõpuks teevad paljud neist turbeekspertidest Apple’i tööd tasuta.
Kas AirTagide skannimine on ohutu?
See uudis ei tohiks heidutada teid AirTagide skannimisest, kuigi see peaks muutma teid valvsamaks. Kui teil palutakse pärast AirTagi skannimist näiteks iCloudi või mõnele muule kontole sisse logida, siis on midagi lahti – Apple ei küsi seadusliku AirTagi skannimisel sisselogimisandmeid.
Üksi jäetud AirTag on samuti punane lipp … omamoodi. Kuna neil jälgijatel pole sisseehitatud võtmehoidja aasasid, võivad need kottidest välja kukkuda või odavate kabuuride eest põgeneda. Enamasti on üksik AirTag hooletuse tagajärg.
Igatahes, keegi ei sunni teid AirTagi skannima. Kui leiate AirTagiga kadunud eseme ja te ei tunne seda mugavalt, võite viia selle Apple Store’i (või politseijaoskonda) ja teha sellest oma probleem. Pidage meeles, et selle skannimine pole tõenäoliselt kahjulik, kui te ei sisesta AirTagsi brauseri hüpikaknasse sisselogimisandmeid.
Allikas: Bobby Rauch Krebsi kaudu turvalisuse kohta, Ars Technica