Peretas Dapat Mengubah AirTags Menjadi Mesin Phishing dengan Eksploitasi Sederhana Ini – Review Geek

0


apel

Masalah keamanan terbaru Apple sangat menghancurkan dan menggelikan. Minggu lalu, kami mengetahui bahwa perusahaan menambal eksploitasi macOS di cara paling malas mungkin, dan sekarang, perusahaan menghadapi serangan balasan atas kerentanan AirTags amatir yang telah diketahui selama berbulan-bulan dan tidak pernah mau diperbaiki.

AirTags Tidak Membersihkan “Nomor Telepon”

AirTags adalah pelacak kecil yang menempel pada ransel, dompet, koper, dan barang berharga lainnya. Jika seseorang kehilangan tas yang dilengkapi AirTag, mereka dapat melacak lokasinya menggunakan jaringan Temukan Saya, yang diberdayakan secara anonim oleh iPhone dan perangkat Apple lainnya.

Tetapi lebih sering daripada tidak, artikel yang hilang ditemukan oleh orang asing. Itu sebabnya AirTags memiliki “mode hilang”, pengaturan yang memungkinkan Orang Samaria yang Baik hati memindai pelacak untuk melihat nomor telepon pemiliknya. Memindai itu mudah—Anda cukup menyentuh AirTag dengan iPhone Anda.

Sayangnya, cacat desain di AirTags dapat mengubah pelacak menjadi alat murah untuk serangan jatuh. Seperti yang ditemukan oleh peneliti keamanan Bobby Rauch, Apple tidak membersihkan bidang entri nomor telepon yang diisi oleh pemilik AirTag saat menyiapkan pelacak mereka. Anda dapat menempelkan apa pun di bidang entri ini, termasuk kode berbahaya.

Dan itu masalah besar. Saat Anda memindai AirTag yang hilang, itu memberikan “nomor telepon” pemiliknya ke iPhone Anda. IPhone Anda kemudian menyematkan “nomor telepon” di a https://found.apple.com/ halaman web. Jadi, jika bidang nomor telepon AirTag yang hilang penuh dengan kode XSS berbahaya, situs web Apple akan menyematkannya, tidak ada pertanyaan yang diajukan.

Kerentanan ini membuat upaya phishing yang ditargetkan menjadi sangat mudah. Seorang peretas dapat memprogram kotak masuk iCloud palsu untuk muncul ketika AirTag “hilang” mereka dipindai, misalnya. Mereka kemudian dapat menanam AirTag ini di dekat mobil atau pintu depan korban untuk memastikan bahwa itu ditemukan dan dipindai.

Peretas juga dapat menggunakan kerentanan ini untuk memicu eksploitasi zero-day berbasis browser di iPhone. Eksploitasi ini dapat merusak atau merusak iPhone Anda, tetapi agar adil, eksploit semacam itu tidak akan benar-benar menguntungkan peretas (dan ada cara yang jauh lebih mudah untuk memberikan eksploitasi tersebut).

Apple Menghabiskan Berbulan-bulan Duduk di Tangannya

Bobby Rauch, peneliti yang menemukan kerentanan ini, melaporkannya ke Apple pada 20 Juni. Perusahaan menghabiskan waktu tiga bulan untuk memberi tahu Rauch bahwa mereka sedang menyelidiki masalah ini, dan menolak untuk memberi tahu dia apakah dia akan menerima kredit atau hadiah untuk penemuannya (ini adalah penghargaan standar untuk mengikuti Program hadiah bug Apple).

Apple meminta Rauch untuk tidak “membocorkan” bug tersebut, tetapi menolak untuk bekerja dengannya atau memberikan garis waktu untuk patch. Dia memperingatkan perusahaan bahwa dia akan mengumumkan kerentanannya setelah 90 hari, dan akhirnya melakukannya dalam posting blog sedang. Namun, Apple belum mengomentari masalah ini secara publik, meskipun sebelumnya mengatakan kepada Rauch bahwa mereka bermaksud untuk memperbaiki masalah tersebut.

Secara teknis, ini harus menjadi perbaikan yang sangat mudah. Apple tidak perlu mendorong pembaruan untuk iPhone atau AirPods; itu hanya perlu membuat https://found.apple.com/ halaman web membersihkan “nomor telepon” yang masuk. Tapi saya harap Apple mengambil langkah untuk sama sekali menyelesaikan masalah ini. Perusahaan terus membuat kesalahan bodoh dan mendorong tambalan setengah-setengah untuk hal-hal yang seharusnya aman saat diluncurkan.

Belum lagi, Apple menolak untuk berkomunikasi dengan orang-orang yang mencoba melaporkan masalah melalui program hadiah bug resminya. Jika Apple serius tentang keamanan, Apple perlu mengatasi kerentanan perangkat lunak dengan cepat dan mulai memperlakukan pakar keamanan dengan hormat. Lagi pula, banyak pakar keamanan ini melakukan pekerjaan Apple secara gratis.

Apakah Aman Memindai AirTags?

Berita ini seharusnya tidak menyurutkan Anda untuk memindai AirTags, meskipun seharusnya membuat Anda lebih waspada. Jika Anda diminta untuk masuk ke iCloud atau akun lain setelah memindai AirTag, misalnya, maka ada sesuatu yang terjadi—Apple tidak meminta informasi masuk apa pun saat AirTag yang sah dipindai.

AirTag yang ditinggalkan dengan sendirinya juga merupakan tanda bahaya … semacam. Karena pelacak ini tidak memiliki loop gantungan kunci built-in, mereka dapat jatuh dari tas atau melarikan diri dari sarung murah. Dalam kebanyakan kasus, AirTag tunggal adalah hasil dari kecerobohan.

Bagaimanapun, tidak ada yang memaksa Anda untuk memindai AirTags. Jika Anda menemukan barang yang hilang dengan AirTag dan tidak nyaman memindainya, Anda dapat membawanya ke Apple Store (atau kantor polisi, saya kira) dan menjadikannya masalah mereka. Ketahuilah bahwa mungkin tidak ada salahnya memindainya, selama Anda tidak mengetikkan informasi login apa pun di popup browser AirTags.

Sumber: Bobby Rauch melalui Krebs tentang Keamanan, Ars Technica



Leave A Reply

Your email address will not be published.