AirTagsはコードを挿入することで武器化可能、Appleが認めるc

セキュリティ研究者が、エアタグを紛失モードに設定し、重要な場所に落とす前に電話番号欄にコードを挿入することで、エアタグを武器化できることを明らかにした。Appleもこの発見を認めた。

誰かが AirTag を見つけてスキャンすると、攻撃者が選択した Web サイトにリダイレクトされます。この Web サイトには、発見を報告するための偽の iCloud ログイン情報が含まれている可能性があります。

ボストンを拠点とするセキュリティコンサルタント、ボビー・ラウチ氏は6月にこの脆弱性を発見し、Appleに報告した上で、同社が脆弱性を公表するまでに90日間の猶予を与えると表明した。この90日間の猶予期間はセキュリティ分野では一般的な慣行であり、企業がパッチをリリースするのに十分な時間を与え、迅速なパッチリリースを促すインセンティブとなっている。

しかし、Appleは90日以内に修正を行わなかっただけでなく、修正時期、修正額のクレジットが付与されるかどうか、バグ報奨金の対象となるかどうかも通知しなかったと彼は主張した。そのため、彼は今回、この脆弱性を公表した。

Appleは、ゼロデイ脆弱性報告への対応方法について情報セキュリティコミュニティから批判されている。

エアタグが取り付けられたアイテムを見つけた人は、iPhoneまたはAndroidスマートフォンでスキャンできます。すると、所有者が入力した電話番号が表示され、https://found.apple.com にある専用のリンクに誘導され、所有者に連絡できるようになります。

しかし、Raunch は電話番号フィールドに XSS コードを挿入できることを発見しました。

攻撃者は、この https://found.apple.com ページでストアドXSSを実行することができます。これは、Airtagの「紛失モード」の電話番号欄に悪意のあるペイロードを挿入することで実行できます。被害者は、Airtagの所有者と連絡を取るためにiCloudへのサインインを求められていると思い込みますが、実際には攻撃者は認証情報ハイジャックページにリダイレクトしています。

これにより、エアタグをスキャンした善意の人物は別のウェブサイトにリダイレクトされます。考えられる手口としては、正規サイトのクローンを使ったフィッシング攻撃が考えられます。この攻撃では、iCloudの認証情報を使ってログインするよう要求されます。もし拾った人がiPhoneでタグをスキャンしたのであれば、特に気に留めずにログインし、認証情報を盗まれる可能性があります。その後、偽のウェブサイトから本物のウェブサイトにリダイレクトされれば、何も問題が起きていることに全く気づかないかもしれません。

ラウフ氏は、他のコードも挿入される可能性があると述べている。

セッショントークンハイジャック、クリックジャッキングなど、その他のXSS攻撃も実行可能です。攻撃者は武器化されたエアタグを作成し、それを放置することで、紛失したエアタグの捜索を手伝おうとしている無実の人々を犠牲にする可能性があります。

以下の動画は、このエクスプロイトが実際に動作している様子を示しています。技術に詳しい人ならURLが変更されたことに気づくでしょうが、本物の攻撃者なら当然、怪しく見えないように、より本物らしいドメインを購入するでしょう。

この種の攻撃は、職場の駐車場の車の横や自宅の外などの場所に仕掛けることで、特定の個人や企業を簡単に標的にすることができます。

Appleは修正を計画していると述べていますが、時期は未定のため、現時点ではこの脆弱性は残っています。AirTagを見つけた場合は、報告にログインは必要ありませんのでご注意ください。

Krebsonsecurity経由

tillline.com を Google ニュース フィードに追加します。