Apparaten voor het volgen van persoonlijke items van Apple, bekend als AirTag, kan worden misbruikt om malware te leveren, veroorzaken clickjacking, gebruikersgegevens en tokens stelen, vanwege een zero-day XSS-kwetsbaarheid.
AirTag is een iPhone-accessoire dat een persoonlijke en veilige manier biedt om de items gemakkelijk te vinden, volgens Apple.
Zero-Day Stored XSS IN Apple's AirTag
De exlpoit is mogelijk vanwege een niet-gepatcht probleem met opgeslagen cross-site-scripting in AirTag's Lost Mode-functie, die verschillende aanvallen op gebruikers kunnen veroorzaken. Dit type aanval, ook bekend als persistente XSS, vindt plaats wanneer een kwaadaardig script wordt geïnjecteerd in een blootgestelde webtoepassing.
De enige voorwaarde die nodig is om de fout te misbruiken, is dat de gebruiker een speciaal vervaardigde webpagina bezoekt.
“Met de "Lost Mode" van Apple kan een gebruiker zijn Airtag als vermist markeren als hij deze kwijt is.
“Dit genereert een unieke https://found.apple.com-pagina, die het serienummer van de Airtag bevat, en het telefoonnummer en het persoonlijke bericht van de Airtag-eigenaar. Als een iPhone- of Android-gebruiker toevallig een ontbrekende Airtag ontdekt, ze kunnen het scannen (via NFC) met hun apparaat, die het unieke van de Airtag zal openen https://gevonden.apple.com pagina op hun apparaat,” zei Bobby Rauch, een onafhankelijke beveiligingsonderzoeker, In een middelgrote bericht.
De kern van het probleem is dat deze pagina's geen bescherming hebben voor opgeslagen XSS, een aanvaller toestaan om kwaadaardige code in AirTag te injecteren via het telefoonnummerveld in de verloren modus.
Bijvoorbeeld, de aanvaller kan de XSS-code inzetten om de gebruiker om te leiden naar zijn valse iCloud-pagina, geladen met een keylogger om de inloggegevens van de gebruiker vast te leggen.
“Een slachtoffer zal denken dat hem wordt gevraagd om in te loggen op iCloud, zodat hij in contact kan komen met de eigenaar van de AirTag, terwijl het in feite, de aanvaller heeft ze omgeleid naar een pagina voor het kapen van inloggegevens. Sinds AirTags onlangs zijn uitgebracht, de meeste gebruikers zouden niet weten dat toegang tot de https://gevonden.apple.com pagina vereist helemaal geen authenticatie,” voegde Rauch toe.
Meer details over de mogelijke AirTag-aanvallen zijn beschikbaar in de post van de onderzoeker.
Eerder deze maand, Apple opgelost drie zero-day fouten in het wild misbruik: CVE-2021-30869, CVE-2021-30860, CVE-2021-30858