Apples senaste säkerhetsproblem är både hemska och roliga. Förra veckan fick vi veta att företaget har patchat macOS-exploatet på det lataste sätt som möjligt, och nu står företaget inför motreaktioner för amatörens AirTags-sårbarhet som det blev känt för i månader och aldrig brytt sig om en fix.
AirTags tar inte bort “telefonnummer”
AirTags är små spårningsenheter som fästs på ryggsäckar, plånböcker, bagage och andra värdesaker. Om någon tappar bort en AirTag-utrustad väska kan de spåra dess plats med hjälp av Find My-nätverket, som anonymt drivs av iPhones och andra Apple-nätverksenheter.
Men oftare än inte hittas de försvunna artiklarna av främlingar. Det är därför AirTags har “förlorat läge”, en inställning som gör att barmhärtiga samariter kan skanna spårare efter sina ägares telefonnummer. Det är enkelt att skanna – tryck bara på AirTag med din iPhone.
Tyvärr kan ett designfel i AirTags förvandla spårare till billiga verktyg för droppattacker. Som upptäckts av säkerhetsforskaren Bobby Rauch rensar Apple inte inmatningsfältet för telefonnummer som AirTag-ägare anger när de ställer in sina spårare. Du kan fästa vad som helst i det här inmatningsfältet, inklusive skadlig kod.
Och det är ett stort problem. När du skannar en förlorad AirTag tillhandahåller den ägarens “telefonnummer” till din iPhone. Din iPhone kommer sedan att bädda in “telefonnumret” i den https://found.apple.com/ webbsida. Så om den förlorade AirTag:s telefonnummer är fyllt med skadlig XSS-kod, kommer Apples webbplats att bädda in det, inga frågor ställda.
Denna sårbarhet gör riktade nätfiskeförsök extremt enkelt. Till exempel kan en hackare programmera en falsk iCloud-inloggningsruta att visa när deras “förlorade” AirTag skannas. De kan sedan placera denna AirTag nära offrets bil eller ytterdörr för att säkerställa att den upptäcks och skannas.
Hackare kan också använda denna sårbarhet för att möjliggöra webbläsarbaserade zero-day exploits på iPhones. Dessa exploateringar kan skada eller få din iPhone att krascha, men för att vara rättvis skulle ett sådant utnyttjande inte riktigt gynna hackaren (och det finns enklare sätt att göra det på). Sådant exploaterande beteende).
AppleMånader tillbringade sittande på händerna
Bobby Rauch, forskaren som upptäckte sårbarheten, rapporterade den till Apple den 20 juni. Företaget tillbringade tre månader med att berätta för Rauch att det undersökte problemet och vägrade att låta honom veta om han kommer att få en kredit eller en dusör för sin upptäckt (detta är standardbelöningar för att följa Apples bug-bounty-program).
Apple bad Rauch att inte “avslöja” felet, men vägrade att arbeta med honom eller tillhandahålla ett schema för en patch. Han varnade företaget för att han skulle offentliggöra sårbarheten efter 90 dagar och gjorde det slutligen i ett Medium blogginlägg. Ändå har Apple inte kommenterat problemet offentligt, även om det tidigare har berättat för Rauch att de har för avsikt att åtgärda problemet.
Tekniskt sett borde detta vara en mycket enkel lösning. Apple behöver inga uppdateringar för iPhones eller AirPods; det bara gör https://found.apple.com/ Webbplatsen desinficerar “telefonnummer”. Men jag hoppas att Apple vidtar åtgärder för att fullständigt lös detta problem. Företaget gör ständigt fåniga misstag och driver halvdana plåster för saker som borde ha varit säkra vid lanseringen.
För att inte tala om, Apple vägrar att kommunicera med människor som försöker rapportera problem genom sitt officiella bug-bounty-program. Om Apple menar säkerhet på allvar måste de åtgärda sårbarheter i programvara snabbt och börja behandla säkerhetspersonal med respekt. När allt kommer omkring, utför många av dessa säkerhetsexperter Apple-arbete gratis.
Är det säkert att skanna AirTags?
Den här nyheten kommer inte att hindra dig från att skanna AirTags, även om den gör dig piggare. Om du till exempel blir ombedd att logga in på iCloud eller ett annat konto efter att ha skannat en AirTag, händer något – Apple ber inte om några autentiseringsuppgifter när en legitim AirTag skannas.
En AirTag som lämnar sig själv är en röd flagga… sånt. Eftersom dessa trackers inte har en inbyggd nyckelring, kan de falla ur en ficka eller ur ett billigt hölster. I de flesta fall är en enda AirTag resultatet av slarv.
Hur som helst, ingen tvingar dig att skanna AirTags. Om du hittar ett förlorat föremål med AirTag och inte känner dig bekväm med att skanna det, kan du ta det till en Apple Store (eller polisstation, antar jag) och göra det till sitt problem. Vet bara att det förmodligen inte är någon fara att skanna den, så länge du inte anger några inloggningsuppgifter i AirTags webbläsares popup-fönster.
Källa: Bobby Rauch via Krebs on Security, Ars Technica
