Apples nya AirTags kan användas som en slags trojansk häst och skicka en användare till en falsk hemsida. Apple har fått information om problemet och utlovar en buggfix inom kort.
Det är säkerhetskontrollen Bobby Rauch som upptäckt att AirTags kan användas för att indexera kod eller skicka användaren till en falsk hemsida. Buggen kan exploateras när/om en AirTag hittas och upphittaren ska försöka att ta reda på vem som äger den lilla enheten. I funktionen finns med det som kallas ”Lost Mode” – och i funktionen finns en egen, unik variant av sidan https://found.apple.com/.
Falsk iCloud
An attacker can carry out Stored XSS on this https://found.apple.com page, by injecting a malicious payload into the Airtag “Lost Mode” phone number field. A victim will believe they are being asked to sign into iCloud so they can get in contact with the owner of the Airtag, when in fact, the attacker has redirected them to a credential hijacking page. Other XSS exploits can be carried out as well like session token hijacking, clickjacking, and more. An attacker can create weaponized Airtags, and leave them around, victimizing innocent people who are simply trying to help a person find their lost Airtag.
Genom att skicka användaren till en falsk sida, iCloud, så kan användare liras att lämna ifrån viktig, känslig personlig information och därmed riskera att bli av med sitt Apple ID konto.
90 dagar
Buggen hittades redan i juni i år och när Bonny Rauch lämnade över informationen till Apple så gav han också Apple de sedvanliga 90 dagarna för att åtgärda buggen – vilket Apple inte har gjort och därmed offentliggörs informationen.
Apple har nu kommenterat uppgifterna och sagt att en buggfix är på gång.
