Apples personlige varetracker-enheder, kendt som AirTag, kan udnyttes til at levere malware, forårsage clickjacking, stjæle brugeroplysninger og tokens, på grund af en nul-dages XSS-sårbarhed.
AirTag er et iPhone -tilbehør, der giver en privat og sikker måde at let finde genstandene på, ifølge Apple.
Zero-Day gemt XSS I Apples AirTag
Exlpoit er mulig på grund af et upatchet, gemt cross-site-scripting problem i AirTags Lost Mode-funktion, som kan forårsage forskellige angreb mod brugere. Denne type angreb, også kendt som persistent XSS, finder sted, når et ondsindet script injiceres i en udsat webapplikation.
Den eneste betingelse, der er nødvendig for at udnytte fejlen, er brugeren, der besøger en specielt fremstillet webside.
“Apples "tabte tilstand" giver en bruger mulighed for at markere deres Airtag som manglende, hvis de har forlagt det.
“Dette skaber en unik https://found.apple.com side, som indeholder Airtagens serienummer, og telefonnummer og personlig besked fra Airtag -ejeren. Hvis en iPhone- eller Android -bruger tilfældigt opdager et manglende Airtag, de kan scanne det (gennem NFC) med deres enhed, som åbner Airtag's unikke https://found.apple.com side på deres enhed,” sagde Bobby Rauch, en uafhængig sikkerhedsforsker, I en mellemstor indlæg.
Kernen i problemet er, at disse sider ikke har beskyttelse til gemt XSS, tillader en angriber at injicere ondsindet kode i AirTag via feltet Lost Mode -telefonnummer.
For eksempel, angriberen kan implementere XSS -koden for at omdirigere brugeren til sin falske iCloud -side, indlæst med en keylogger for at fange brugerens legitimationsoplysninger.
”Et offer vil tro, at de bliver bedt om at logge ind på iCloud, så de kan komme i kontakt med ejeren af AirTag, når de i virkeligheden, angriberen har omdirigeret dem til en side med kapring af legitimationsoplysninger. Siden AirTags for nylig blev frigivet, de fleste brugere ville være uvidende om, at adgang til https://found.apple.com side kræver slet ikke godkendelse,”Tilføjede Rauch.
Flere detaljer om de mulige AirTag -angreb er tilgængelige i forskerens indlæg.
Tidligere i denne måned, Apple fikset tre nul-dages fejl udnyttes i naturen: CVE-2021-30869, CVE-2021-30860, CVE-2021-30858
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: