Хакери можуть перетворити AirTags на фішингові машини за допомогою цього простого використання
яблуко
Останні проблеми безпеки Apple є одночасно нищівними і смішними. Минулого тижня ми дізналися, що компанія виправила експлойт macOS найбільш лінивим способом, і тепер компанія стикається з негативною реакцією через дилетантську вразливість AirTags, про яку відомо місяцями і ніколи не намагалася виправити.
AirTags не очищають «номери телефонів»
AirTags — це невеликі трекери, які кріпляться до рюкзаків, гаманців, багажу та інших цінних речей. Якщо хтось втратить свою сумку з AirTag, він може відстежити її місцезнаходження за допомогою мережі Find My, яка анонімно працює на iPhone та інших пристроях Apple.
Але найчастіше втрачені речі знаходять незнайомці. Ось чому у AirTags є «режим втрати», який дозволяє «Добрим самаритянам» сканувати трекер, щоб побачити номер телефону його власника. Сканувати легко — ви просто торкніться AirTag своїм iPhone.
На жаль, недолік дизайну AirTags може перетворити трекери на дешеві інструменти для дроп-атак. Як виявив дослідник безпеки Боббі Раух, Apple не очищає поле введення номера телефону, яке власники AirTag заповнюють під час налаштування своїх трекерів. У це поле введення можна вставити будь-що, включно зі шкідливим кодом.
І це велика проблема. Коли ви скануєте втрачений AirTag, він надає вашому iPhone «номер телефону» його власника. Потім ваш iPhone вставляє «номер телефону» на веб-сторінку https://found.apple.com/. Отже, якщо поле номера телефону втраченого AirTag заповнено шкідливим кодом XSS, веб-сайт Apple вбудує його без запитань.
Ця вразливість надзвичайно полегшує цілеспрямовані спроби фішингу. Наприклад, хакер може запрограмувати підроблену скриньку входу в iCloud, щоб вона з’являлася, наприклад, коли їх «втрачений» AirTag сканується. Потім вони можуть розмістити цей AirTag біля автомобіля жертви або вхідних дверей, щоб переконатися, що його виявлять і просканують.
Хакери також можуть використовувати цю вразливість, щоб ініціювати браузерні експлойти нульового дня на iPhone. Ці експлойти можуть призвести до збою або зламати ваш iPhone, але чесно кажучи, такий експлойт не принесе користі хакеру (і є набагато простіші способи доставки таких експлойтів).
Apple провела місяці, сидячи на руках
Боббі Раух, дослідник, який виявив цю вразливість, повідомив про це Apple 20 червня. Компанія витратила три місяці, розповідаючи Рауху, що вона розслідує цю проблему, і відмовилася повідомити йому, чи отримає він кредит чи винагороду за своє відкриття (це стандартні винагороди за виконання програми Apple за помилки ).
Apple попросила Рауха не «витікати» про помилку, але відмовилася працювати з ним або надати терміни для виправлення. Він попередив компанію, що через 90 днів оприлюднить уразливість, і, нарешті, зробив це у блозі Medium. Тим не менш, Apple не прокоментувала цю проблему публічно, хоча раніше вона сказала Рауху, що має намір вирішити проблему.
Технічно кажучи, це має бути дуже легким виправленням. Apple не потрібно оновлювати iPhone або AirPods; йому просто потрібно зробити так, щоб веб-сторінка https://found.apple.com/ очищала вхідні «номери телефону». Але я сподіваюся, що Apple зробить кроки, щоб повністю вирішити цю проблему. Компанія продовжує робити дурні помилки і висуває неякісні виправлення для речей, які мали бути безпечними під час запуску.
Не кажучи вже про те, що Apple відмовляється спілкуватися з людьми, які намагаються повідомити про проблеми через її офіційну програму винагороди за помилки. Якщо Apple серйозно ставиться до безпеки, їй потрібно швидко подолати вразливості програмного забезпечення та почати шанобливо ставитися до експертів із безпеки. Зрештою, багато з цих експертів із безпеки виконують роботу Apple безкоштовно.
Чи безпечно сканувати AirTags?
Ця новина не повинна перешкодити вам сканувати AirTags, хоча вона повинна зробити вас більш пильними. Наприклад, якщо вас попросять увійти в iCloud або інший обліковий запис після сканування AirTag, то щось трапилося — Apple не запитує жодної інформації для входу під час сканування законної AirTag.
AirTag, який залишився сам по собі, також є червоним прапорцем… свого роду. Оскільки ці трекери не мають вбудованих петель для брелоків, вони можуть випасти з сумок або втекти з дешевих кобур. У більшості випадків самотня AirTag є результатом необережності.
У всякому разі, ніхто не змушує вас сканувати AirTags. Якщо ви знайшли втрачений предмет із AirTag і вам не зручно його сканувати, ви можете віднести його в Apple Store (або в поліцейський відділок, я думаю) і зробити це своєю проблемою. Просто знайте, що, ймовірно, немає ніякої шкоди в його скануванні, якщо ви не вводите жодної інформації для входу у спливаюче вікно браузера AirTags.
Джерело: Боббі Раух через Krebs on Security, Ars Technica