Специалист в области кибербезопасности Бобби Раух (Bobby Rauch) обнаружил уязвимость в работе метки Apple AirTag, позволяющую похищать данные пользователей с iCloud путем межсайтового скриптинга. Исследователь утверждает, что ошибка может иметь более серьезные последствия, чем кажется с первого взгляда.
Каждый трекер AirTag оснащен режимом потери при переходе в который создается уникальная веб-страница с данными о серийном номере устройства и контактами владельца. Нашедший может просканировать метку с помощью NFC и перейти на ранее созданный сайт, чтобы вернуть трекер потерявшему. Суть эксплойта строится на том, что во время перевода AirTag в режим потери, злоумышленник может перехватить запрос и подменить данные в поле ввода контактного номера телефона на скрип, который перенаправляет жертву на фишинговый сайт. Так как сайт полностью идентичен странице входа iCloud, то с большой вероятностью пользователь пройдет авторизацию, а данные окажутся на сервере злоумышленника.
Описанный сценарий является лишь одним из многих возможных. По сути, метка может выступать посредником между любым фишинговым сайтом или ссылкой на вредоносное ПО. Исследователь обеспокоен тем, что относительно маленькая цена AirTag может повлиять на рост количества атак, основанных на данном эксплойте. У злоумышленника буквально есть возможность приобрести большое количество меток и раскидать их по городским окрестностям.
20 июня 2021 года Раух связался с Apple и сообщил о найденной уязвимости. Компания не отвечала на заявление специалиста в течении трех месяцев и отправила ответное письмо только 23 сентября 2021 года. В письме представители компании сообщили, что исправят ошибку в ближайшем обновлении. Также Раух поделился информацией о том, что Apple неохотно ведет переговоры относительно эксплойтов, обнаруживаемых в ПО компании и игнорирует вопросы о денежном вознаграждении по программе Apple Security Bounty.
В этот вторник стало известно о том, что Apple до сих пор рассматривает 0-day уязвимости в iOS 15, найденные пользователем «Хабра» Денисом Токаревым (illusionofchaos). Токарев также обратил внимание на затягивание с решением проблем безопасности со стороны Apple и игнорирование условий программы выплаты вознаграждений – пишет Habr.com.