Apple AirTags är sårbara för lagrade XSS -injektionsattacker

0 Shares

PSA: Varnas: Apple AirTags är för närvarande sårbara för lagrade cross-site scripting (XSS) attacker. Bland de olika möjliga XSS -exploaten finns en enkel webbplatsomdirigering. Om du hittar en AirTag och blir ombedd att logga in på iCloud för att varna ägaren har du hittat en “vapenad” tagg. Ange inte dina uppgifter! Ingen inloggning är nödvändig för att rapportera att du har hittat en AirTag.

En säkerhetsforskare har upptäckt att Apples AirTags är sårbara för XSS -kodinjektioner. En attackerare måste helt enkelt ange den skadliga koden i telefonnummerfältet innan fobben placeras i förlorat läge och sedan lämna den någonstans för ett intet ont anande offer att hitta.

När den barmhärtige samariten hittar AirTag och skannar den för att rapportera den som hittad kan koden omdirigera offret till en klonad iCloud -inloggningssida som registrerar användarens referenser med en keylogger. Den kan sedan gå tillbaka till den faktiska Apple Found -webbplatsen, som inte kräver inloggning, och rapporteringsprocessen kan fortsätta som vanligt.

Bobby Rauch, en säkerhetskonsult baserad i Boston, upptäckte nolldagars brist i juni. Han meddelade Apple om sårbarheten och gav dem standarden 90 dagar innan han avslöjade den för allmänheten. Under sin väntan kontaktade Apple aldrig honom om huruvida en åtgärd var på väg, inte heller om han skulle krediteras och tilldelas en bug bounty.

Efter att ha blivit offentlig bekräftade Apple säkerhetshålet och berättade för 9to5Mac att det arbetade med en åtgärd. Det hade dock ingen tidsram för när en patch skulle vara tillgänglig.

Förutom att omdirigera offer till en nätfiskewebbplats sa Rauch att andra typer av injektioner var möjliga, inklusive kapning av sessionstoken, clickjacking och mer.

“En angripare kan skapa vapenstillverkade flygmärken och lämna dem kvar och offra oskyldiga människor som helt enkelt försöker hjälpa en person att hitta sin förlorade Airtag”, skrev han.

Ett exempel på hur omdirigeringsattacken fungerar kan ses i videon ovan. En kunnig användare kanske märker att domänen ändras från “found.apple.com” till “10.0.1.137”, men en genomsnittlig person kanske inte ens märker något misstänkt. Angriparen kan också använda ett domännamn som lätt skulle förbises.

Den mest kraftfulla begränsningen för detta utnyttjande är kunskap. Användare bör veta att för att rapportera en hittad AirTag krävs ingen inloggning. Det eliminerar dock inte riskerna att bli offer för andra typer av injektioner.

0 Shares