Функция AirTag, позволяющая любому человеку со смартфоном отсканировать потерянный AirTag, чтобы узнать контактную информацию владельца, может быть использована для фишинговых атак, говорится в новом отчёте, опубликованном KrebsOnSecurity.

Когда AirTag переводится в режим пропажи, он генерирует URL-адрес для https://found.apple.com и позволяет владельцу AirTag ввести контактный номер телефона или адрес электронной почты. Любой, кто сканирует такую AirTag, автоматически переходит на URL-адрес с контактной информацией владельца, причём для просмотра предоставленных контактных данных не требуется вход в систему.

По данным KrebsOnSecurity, Режим пропажи не предотвращает введение пользователем произвольного кода в поле номера телефона, поэтому человек, сканирующий AirTag, может быть перенаправлен на фальшивую страницу входа в iCloud или другой вредоносный сайт. Тот, кто не знает, что для просмотра информации AirTag не требуется никакой личной информации, может быть обманом вынужден указать свой логин iCloud или другие личные данные. Либо такой редирект может привести к попытке загрузки вредоносного программного обеспечения.

Photo by Onur Binay / Unsplash

Уязвимость AirTag была обнаружена консультантом по безопасности Бобби Раучем.

«Я не могу вспомнить другого случая, когда подобные небольшие устройства для отслеживания потребительского класса по низкой цене могли бы стать объектом атаки», – сказал он.

Рауч связался с Apple 20 июня, и компании потребовалось несколько месяцев на расследование. В прошлый четверг Apple сообщила ему, что устранит проблему в ближайшем обновлении, и попросила не рассказывать об этом публично.

Apple не ответила на его вопросы о том, получит ли он вознаграждение и подходит ли он для участия в программе «Bug bounty», поэтому он решил поделиться подробностями об уязвимости из-за отсутствия обратной связи со стороны Apple.

«Я готов работать с вами, если вы сможете предоставить некоторые подробности о том, когда планируете исправить уязвимость, и будет ли выплачено какое-либо вознаграждение за найденную неисправность», — сказал Рауч, отметив, что сообщил компании Apple, что планирует опубликовать свою находку в течение 90 дней после уведомления.

Их ответ был в основном таким: «Мы будем благодарны, если вы не станете об этом распространяться».

На прошлой неделе исследователь в области безопасности Денис Токарев обнародовал несколько уязвимостей нулевого дня в iOS после того, как Apple проигнорировала его сообщения и не исправляла проблемы в течение нескольких месяцев. Компания принесла извинения, но продолжает получать критику за свою программу вознаграждения о найденных уязвимостях и медлительность, с которой та реагирует на сообщения.


AirTag ‘Lost Mode’ Vulnerability Can Redirect Users to Malicious Websites
The AirTag feature that allows anyone with a smartphone to scan a lost AirTag to locate the contact information of the owner can be abused for...

Ещё по теме: