Недавно обнаруженная уязвимость AirTag позволяет потенциальным злоумышленникам перенаправлять пользователей на вредоносную веб-страницу при сканировании устройства в режиме пропажи, эффективно превращая трекер в троянского коня.
Lost Mode — это особая функция AirTag, которая при активации позволяет любому, у кого есть устройство с поддержкой NFC, сканировать трекер и читать запрограммированное сообщение обнаружения, которое включает номер телефона владельца. Эта функция помогает вернуть потерянные предметы, например ключи от машины, если сеть «Найти меня» не может найти потерянный AirTag.
Исследователь Бобби Раух обнаружил уязвимость, которая превращает Lost Mode в потенциальный вектор атаки. Как описано Krebs on Security, эта функция генерирует уникальный URL-адрес на https://found.apple.com, где владельцы могут ввести личное сообщение и номер телефона, если устройство будет найдено. Раух обнаружил, что системы Apple не предотвращают введение произвольного кода в поле номера телефона, а это означает, что ничего не подозревающие добрые самаритяне, сканирующие устройство, могут быть отправлены на вредоносный веб-сайт.
«Я не могу припомнить другого случая, когда подобные небольшие устройства слежения потребительского класса по такой низкой цене можно было бы использовать в качестве оружия», — сказал Раух.
В опубликованном сегодня посте Medium Раух объясняет, что эксплойт Stored XSS может быть использован для внедрения вредоносной полезной нагрузки, которая перенаправляет на фишинговый сайт, который собирает конфиденциальные учетные данные с помощью кейлоггера. По словам Рауха, другие эксплойты XSS, такие как захват токена сеанса и кликджекинг.
Исследователь сообщил Apple об уязвимости 20 июня и сказал, что планирует обнародовать информацию в течение 90 дней в соответствии с типичными протоколами раскрытия информации. С тех пор он получил мало информации, кроме заявлений о том, что компания все еще расследует этот недостаток. В отчете говорится, что Apple не ответила на вопросы о прогрессе в решении и не сказала, будет ли Раух упоминаться в будущих рекомендациях по безопасности. Компания также не прокомментировала, имел ли недостаток право на выплату в рамках программы Apple Bug Bounty Program.
В прошлый четверг, через пять дней после истечения 90-дневного периода защиты от раскрытия информации, Apple связалась с Раухом, чтобы сообщить, что уязвимость будет устранена в грядущем обновлении, и попросила не говорить об ошибке публично.
«Я сказал им, что готов работать с вами, если вы можете предоставить некоторые подробности о том, когда вы планируете исправить это, и будет ли какое-либо признание или выплата вознаграждения за ошибку», — сказал Раух. «Их ответ был в основном, мы были бы признательны, если бы вы не утекали это».
В отчете говорится, что Раух стал публичным из-за отсутствия связи со стороны Apple.
Ряд других исследователей выразили разочарование по поводу программы отчетов об ошибках Apple, в том числе исследователь безопасности Денис Токарев. На прошлой неделе Токарев подробно рассказал о своем опыте работы с программой Bug Bounty Program, заявив, что он выявил и сообщил Apple о четырех недостатках, но только один был исправлен. Позже Apple извинилась за задержку и заявила, что все еще исследует проблемы.
AirTag представляет интерес для сообщества исследователей безопасности с момента его запуска в апреле. Вскоре после дебюта устройства исследователи нашли метод, с помощью которого можно использовать AirTag для отправки коротких сообщений через сеть Find My.
