Appleの個人用アイテムトラッカーデバイス, AirTagとして知られています, マルウェアを配信するために悪用される可能性があります, クリックジャッキングを引き起こす, ユーザーの資格情報とトークンを盗む, ゼロデイXSSの脆弱性による.
AirTagは、アイテムを簡単に見つけるためのプライベートで安全な方法を提供するiPhoneアクセサリです。, Appleによると.
AppleのAirTagにゼロデイ保存されたXSS
AirTagのロストモード機能にパッチが適用されていない保存されたクロスサイトスクリプティングの問題が原因で、exlpoitが発生する可能性があります, ユーザーに対してさまざまな攻撃を引き起こす可能性があります. このタイプの攻撃, 永続的なXSSとも呼ばれます, 悪意のあるスクリプトが公開されたWebアプリケーションに挿入されたときに発生します.
この欠陥を悪用するために必要な唯一の条件は、ユーザーが特別に細工したWebページにアクセスすることです。.
“Appleの「ロストモード」を使用すると、ユーザーはAirtagを置き忘れた場合に、Airtagを紛失としてマークできます。.
“これにより、独自の https://found.apple.comページ, Airtagのシリアル番号が含まれています, とAirtag所有者の電話番号と個人的なメッセージ. iPhoneまたはAndroidユーザーが不足しているAirtagを発見した場合, 彼らはそれをスキャンすることができます (NFCを介して) 彼らのデバイスで, Airtagのユニークなものを開きます https://found.apple.com デバイスのページ,” ボビー・ラウフは言った, 独立したセキュリティ研究者, ミディアムポストで.
問題の核心は、これらのページに保存されたXSSの保護がないことです。, 攻撃者がロストモードの電話番号フィールドを介して悪意のあるコードをAirTagに挿入できるようにする.
例えば, 攻撃者はXSSコードを展開して、ユーザーを偽のiCloudページにリダイレクトできます, ユーザーの資格情報を取得するためのキーロガーがロードされています.
「被害者は、AirTagの所有者と連絡を取ることができるようにiCloudにサインインするように求められていると信じています。, 実際には, 攻撃者はそれらを資格情報ハイジャックページにリダイレクトしました. AirTagsが最近リリースされてから, ほとんどのユーザーは、 https://found.apple.com ページは認証をまったく必要としません,」ラウフは付け加えた.
考えられるAirTag攻撃の詳細については、次のURLをご覧ください。 研究者の投稿.
今月上旬, Appleが修正しました 3つのゼロデイ欠陥 野生で搾取される: CVE-2021-30869, CVE-2021-30860, CVE-2021-30858
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: