AirTags kan skicka användare till falska hemsidor – buggfix är på gång

av | sep 29, 2021 | Säkerhet

Apples nya AirTags kan användas som en slags trojansk häst och skicka en användare till en falsk hemsida. Apple har fått information om problemet och utlovar en buggfix inom kort.

Det är säkerhetskontrollen Bobby Rauch som upptäckt att AirTags kan användas för att indexera kod eller skicka användaren till en falsk hemsida. Buggen kan exploateras när/om en AirTag hittas och upphittaren ska försöka att ta reda på vem som äger den lilla enheten. I funktionen finns med det som kallas ”Lost Mode” – och i funktionen finns en egen, unik variant av sidan https://found.apple.com/.

Falsk iCloud

An attacker can carry out Stored XSS on this https://found.apple.com page, by injecting a malicious payload into the Airtag “Lost Mode” phone number field. A victim will believe they are being asked to sign into iCloud so they can get in contact with the owner of the Airtag, when in fact, the attacker has redirected them to a credential hijacking page. Other XSS exploits can be carried out as well like session token hijacking, clickjacking, and more. An attacker can create weaponized Airtags, and leave them around, victimizing innocent people who are simply trying to help a person find their lost Airtag.

Bobby Rauch

Genom att skicka användaren till en falsk sida, iCloud, så kan användare liras att lämna ifrån viktig, känslig personlig information och därmed riskera att bli av med sitt Apple ID konto.

90 dagar

Buggen hittades redan i juni i år och när Bonny Rauch lämnade över informationen till Apple så gav han också Apple de sedvanliga 90 dagarna för att åtgärda buggen – vilket Apple inte har gjort och därmed offentliggörs informationen.

Apple har nu kommenterat uppgifterna och sagt att en buggfix är på gång.

 

Magasin Macken använder AI för att samla in information och underlag för de texter som publiceras. Vi använder även AI för att skapa bilder och illustrationer. Dessa märks alltid med att det är AI-bilder om bilderna är fotorealistiska. I förekommande fall så läggs även till länkar till källa och referenser till i texterna som alltid kontrolleras av en mänsklig skribent – som är den som skriver och redigerar alla texter till alla väsentliga delar. 

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen:

Disney flaggar för nya prishöjningar

Disney flaggar för nya prishöjningar

Från och med den 21 oktober kommer Disney+ med reklam att bli två dollar dyrare och landa på 11,99 dollar i månaden, i USA. Premiumversionen utan reklam höjs med tre dollar och kostar därefter 18,99 dollar per månad. Även om…

läs mer