Хакеры могут превратить AirTags в фишинговые машины с помощью этого простого эксплойта
яблоко
Последние проблемы безопасности Apple одновременно разрушительны и смехотворны. На прошлой неделе мы узнали, что компания максимально лениво исправила эксплойт macOS , и теперь компания сталкивается с негативной реакцией на любительскую уязвимость AirTags, о которой она знала в течение нескольких месяцев и никогда не удосужилась исправить.
AirTags не дезинфицируют «телефонные номера»
AirTags — это небольшие трекеры, которые крепятся к рюкзакам, кошелькам, багажу и другим ценностям. Если кто-то потеряет свою сумку с AirTag, он сможет отследить ее местонахождение с помощью сети «Найти меня», которая анонимно работает на iPhone и других устройствах Apple.
Но чаще всего потерянные вещи находят незнакомцы. Вот почему у AirTags есть «режим пропажи», настройка, которая позволяет добрым самаритянам сканировать трекер, чтобы увидеть номер телефона его владельца. Сканировать легко — достаточно коснуться AirTag своим iPhone.
К сожалению, конструктивный недостаток AirTags может превратить трекеры в дешевые инструменты для дроп-атак. Как обнаружил исследователь безопасности Бобби Раух, Apple не очищает поле ввода номера телефона, которое владельцы AirTag заполняют при настройке своих трекеров. В это поле ввода можно вставить что угодно, в том числе вредоносный код.
И это большая проблема. Когда вы сканируете утерянный AirTag, он передает «номер телефона» его владельца на ваш iPhone. Затем ваш iPhone встраивает «номер телефона» в веб-страницу https://found.apple.com/. Поэтому, если поле номера телефона потерянного AirTag заполнено вредоносным XSS-кодом, веб-сайт Apple встроит его без лишних вопросов.
Эта уязвимость делает целевые попытки фишинга чрезвычайно простыми. Хакер может запрограммировать фальшивое окно входа в iCloud, чтобы оно отображалось, например, при сканировании «потерянной» метки AirTag. Затем они могут установить эту AirTag рядом с автомобилем или входной дверью жертвы, чтобы убедиться, что ее обнаружат и просканируют.
Хакеры также могут использовать эту уязвимость для запуска браузерных эксплойтов нулевого дня на iPhone. Эти эксплойты могут привести к сбою или блокировке вашего iPhone, но, честно говоря, такой эксплойт не принесет особой пользы хакеру (и есть гораздо более простые способы доставки таких эксплойтов).
Apple провела месяцы, сидя сложа руки
Бобби Раух, исследователь, обнаруживший эту уязвимость, сообщил об этом в Apple 20 июня. Компания потратила три месяца на то, чтобы сообщить Рауху, что расследует проблему, и отказалась сообщить ему, получит ли он признание или награду за свое открытие (это стандартное вознаграждение за участие в программе вознаграждения за обнаружение ошибок Apple ).
Apple попросила Рауха не «сливать» ошибку, но отказалась работать с ним или предоставить сроки исправления. Он предупредил компанию, что обнародует информацию об уязвимости через 90 дней, и, наконец, сделал это в своем блоге на Medium. Тем не менее, Apple публично не комментировала проблему, хотя ранее сообщила Рауху, что намерена решить проблему.
Технически говоря, это должно быть очень легко исправить. Apple не нужно выпускать обновления для iPhone или AirPods; ему просто нужно сделать так, чтобы веб- страница https://found.apple.com/ очищала входящие «телефонные номера». Но я надеюсь, что Apple предпримет шаги для полного решения этой проблемы. Компания продолжает совершать глупые ошибки и выпускает недоработанные патчи для вещей, которые должны были быть безопасными при запуске.
Не говоря уже о том, что Apple отказывается общаться с людьми, которые пытаются сообщить о проблемах через официальную программу вознаграждения за обнаружение ошибок. Если Apple серьезно относится к безопасности, ей нужно быстро устранять уязвимости в программном обеспечении и начать с уважением относиться к экспертам по безопасности. В конце концов, многие из этих экспертов по безопасности делают работу Apple бесплатно.
Безопасно ли сканировать AirTags?
Эта новость не должна отбить у вас охоту сканировать AirTags, но должна сделать вас более бдительными. Если вас просят войти в iCloud или другую учетную запись, например, после сканирования AirTag, значит, что-то не так — Apple не запрашивает никаких данных для входа при сканировании законного AirTag.
AirTag, оставленный сам по себе, также является тревожным сигналом… в некотором роде. Поскольку у этих трекеров нет встроенных петель для ключей, они могут выпасть из сумок или выпасть из дешевых кобур. В большинстве случаев одинокий AirTag является результатом невнимательности.
В любом случае, никто не заставляет вас сканировать AirTags. Если вы нашли потерянный предмет с AirTag и вам неудобно его сканировать, вы можете отнести его в Apple Store (или, я думаю, в полицейский участок) и сделать это их проблемой. Просто знайте, что, вероятно, нет никакого вреда в его сканировании, если вы не вводите данные для входа во всплывающее окно браузера AirTags.
Источник: Бобби Раух через Кребса о безопасности, Ars Technica