AppleCác vấn đề bảo mật mới nhất của cả hai đều khủng khiếp và buồn cười. Tuần trước, chúng tôi được biết rằng công ty đã vá lỗi khai thác macOS theo cách lười biếng nhất có thể và hiện tại, công ty đang phải đối mặt với phản ứng dữ dội vì lỗ hổng AirTags nghiệp dư mà nó đã được biết đến trong nhiều tháng và không bao giờ bận tâm đến việc sửa chữa.
AirTags không xóa “Số điện thoại”
AirTags là thiết bị theo dõi nhỏ gắn vào ba lô, ví, hành lý và các vật dụng có giá trị khác. Nếu ai đó làm mất túi được trang bị AirTag, họ có thể theo dõi vị trí của nó bằng cách sử dụng mạng Tìm của tôi, được cung cấp ẩn danh bởi iPhone và các mạng khác Apple các thiết bị.
Nhưng thường xuyên hơn không, những bài báo bị mất được tìm thấy bởi những người lạ. Đó là lý do tại sao AirTags có “chế độ bị mất”, một cài đặt cho phép Good Samaritans quét trình theo dõi để xem số điện thoại của chủ nhân. Quét thật dễ dàng — bạn chỉ cần chạm vào AirTag với iPhone của mình.
Thật không may, một lỗ hổng thiết kế trong AirTags có thể biến các trình theo dõi thành công cụ rẻ tiền cho các cuộc tấn công thả rơi. Theo phát hiện của nhà nghiên cứu bảo mật Bobby Rauch, Apple không làm sạch trường nhập số điện thoại mà chủ sở hữu AirTag điền khi thiết lập trình theo dõi của họ. Bạn có thể dính bất cứ thứ gì vào trường nhập này, kể cả mã độc.
Và đó là một vấn đề lớn. Khi bạn quét một AirTag bị mất, nó sẽ cung cấp “số điện thoại” của chủ sở hữu nó cho iPhone của bạn. Sau đó, iPhone của bạn sẽ nhúng “số điện thoại” vào https://found.apple.com/ trang web. Vì vậy, nếu trường số điện thoại của AirTag bị mất chứa đầy mã XSS độc hại, Apple trang web sẽ nhúng nó, không có câu hỏi.
Lỗ hổng này làm cho các nỗ lực lừa đảo có mục tiêu trở nên cực kỳ dễ dàng. Chẳng hạn, một hacker có thể lập trình một hộp đăng nhập iCloud giả mạo để hiển thị khi thẻ AirTag “bị mất” của họ được quét. Sau đó, họ có thể đặt thẻ AirTag này gần ô tô hoặc cửa trước của nạn nhân để đảm bảo rằng nó được phát hiện và quét.
Tin tặc cũng có thể sử dụng lỗ hổng này để kích hoạt các hoạt động khai thác zero-day dựa trên trình duyệt trên iPhone. Những cách khai thác này có thể làm hỏng hoặc khiến iPhone của bạn bị sập, nhưng công bằng mà nói, một cách khai thác như vậy sẽ không thực sự mang lại lợi ích cho hacker (và có nhiều cách dễ dàng hơn để thực hiện những hành vi khai thác như vậy).
AppleNhững tháng đã dành để ngồi trên bàn tay của nó
Bobby Rauch, nhà nghiên cứu đã phát hiện ra lỗ hổng này, đã báo cáo nó với Apple vào ngày 20 tháng 6. Công ty đã dành ba tháng để nói với Rauch rằng họ đang điều tra vấn đề và từ chối cho anh ta biết liệu anh ta sẽ nhận được tín dụng hoặc tiền thưởng cho phát hiện của mình (đây là những phần thưởng tiêu chuẩn cho việc theo dõi Applechương trình tiền thưởng lỗi).
Apple Yêu cầu Rauch không “tiết lộ” lỗi, nhưng từ chối làm việc với anh ta hoặc cung cấp lịch trình cho một bản vá. Anh ấy đã cảnh báo công ty rằng anh ấy sẽ công khai lỗ hổng bảo mật sau 90 ngày và cuối cùng đã làm như vậy trong một bài đăng trên blog Medium. Vẫn còn, Apple đã không bình luận về vấn đề này một cách công khai, mặc dù trước đó họ đã nói với Rauch rằng họ có ý định khắc phục sự cố.
Về mặt kỹ thuật, đây sẽ là một sửa chữa rất dễ dàng. Apple không cần cập nhật cho iPhone hoặc AirPods; nó chỉ cần làm cho https://found.apple.com/ trang web khử trùng “số điện thoại”. Nhưng tôi hy vọng rằng Apple thực hiện các bước để hoàn toàn giải quyết vấn đề này. Công ty liên tục mắc những sai lầm ngớ ngẩn và đẩy các bản vá lỗi nửa vời cho những thứ đáng lẽ phải được bảo mật khi ra mắt.
Chưa kể, Apple từ chối giao tiếp với những người cố gắng báo cáo vấn đề thông qua chương trình tiền thưởng lỗi chính thức của nó. Nếu như Applenghiêm túc về bảo mật, nó cần nhanh chóng xử lý các lỗ hổng phần mềm và bắt đầu đối xử với các chuyên gia bảo mật một cách tôn trọng. Rốt cuộc, rất nhiều chuyên gia bảo mật này đang làm Applelàm việc miễn phí.
Quét thẻ AirTags có an toàn không?
Tin tức này sẽ không ngăn cản bạn quét AirTags, mặc dù nó sẽ khiến bạn cảnh giác hơn. Ví dụ: nếu bạn được yêu cầu đăng nhập vào iCloud hoặc một tài khoản khác sau khi quét AirTag, thì có điều gì đó xảy ra—Apple không yêu cầu bất kỳ thông tin đăng nhập nào khi một AirTag hợp pháp được quét.
Một thẻ AirTag mà bản thân nó để lại cũng là một lá cờ đỏ… đại loại như vậy. Bởi vì những thiết bị theo dõi này không có vòng móc khóa tích hợp, chúng có thể rơi ra khỏi túi hoặc thoát khỏi bao da rẻ tiền. Trong hầu hết các trường hợp, một AirTag đơn lẻ là kết quả của sự bất cẩn.
Dù sao, không ai bắt bạn phải quét AirTags. Nếu bạn tìm thấy một món đồ bị mất bằng AirTag và không cảm thấy thoải mái khi quét nó, bạn có thể mang nó đến Apple Cửa hàng (hoặc đồn cảnh sát, tôi đoán vậy) và biến nó thành vấn đề của họ. Chỉ cần biết rằng có thể không có hại khi quét nó, miễn là bạn không nhập bất kỳ thông tin đăng nhập nào vào cửa sổ bật lên của trình duyệt AirTags.
Nguồn: Bobby Rauch qua Krebs on Security, Ars Technica
