La investigación de seguridad Bobby Raunch ha descubierto un exploit de AirTag que permite el secuestro de día cero y otras formas de ataque simplemente inyectando código XSS almacenado para robar el ID de Apple y la contraseña de víctimas insospechadas.
Raunch encontró la vulnerabilidad en junio de este año y la informó a Apple. Después de que Apple no solucionó la falla en 90 días y le dio un momento en que se reparó y su estado de recompensa por error, el investigador reveló públicamente sus hallazgos. El período de 90 días es una duración estándar en el campo de la seguridad para darle tiempo a la empresa para corregir la falla y dar crédito al investigador.
Solo esta semana, Ranch es el segundo investigador que ha compartido su frustración con el error de Apple. programa de recompensas. Denis Tokarev reveló públicamente tres vulnerabilidades de día cero de iOS 15 que encontró entre marzo y mayo. Como antes, cuando el investigador se hizo público, Apple dijo que una solución está en camino, pero no mencionó cuándo.
Un AirTag se puede utilizar como arma para secuestrar las credenciales de iCloud
Apple permite a los usuarios de AirTag marcar sus rastreadores perdidos a través del Modo Perdido, que crea una página de búsqueda única para el rastreador con su número de serie, el número de teléfono del propietario y un mensaje personal del propietario para la persona que lo encuentra.
Cuando una persona encuentra un AirTag perdido y escanea con un teléfono inteligente iPhone y Android, Se abre una página única encontrada para el rastreador en su dispositivo. Raunch ha descubierto que los atacantes pueden usar esta página única encontrada para obtener el ID de Apple o las credenciales de iCloud de la persona insospechada dirigiéndose a un sitio web falso para iniciar sesión con su ID y contraseña.
Un atacante puede llevar a cabo XSS almacenado en esta página https://found.apple.com , inyectando una carga útil maliciosa en el Airtag””Modo perdido”campo de número de teléfono. Una víctima creerá que se le pide que inicie sesión en iCloud para poder ponerse en contacto con el propietario del Airtag, cuando en realidad el atacante la ha redirigido a una página de secuestro de credenciales.
También agrega que ha mencionado Solo una forma en que se puede llevar a cabo un exploit XSS, hay numerosas formas en que se puede usar un exploit XSS, como el secuestro de clics, el secuestro de tokens y otros. Los atacantes pueden incluso crear un AirTag armado y dejarlos deliberadamente para que los encuentren víctimas inocentes que solo desean devolver el rastreador perdido a su propietario.
Hay innumerables formas en que un atacante podría victimizar a un usuario final. quien descubre un Airtag perdido. Dado que los Airtags se lanzaron recientemente, la mayoría de los usuarios no sabrían que acceder a la página https://found.apple.com no requiere autenticación en absoluto. El enlace https://found.apple.com también se puede utilizar como enlace de suplantación de identidad y compartir a través de un escritorio/portátil, sin la necesidad de un dispositivo móvil para escanear el Airtag. Podrían producirse más ataques de inyección a través de Find My App, que se utiliza para escanear dispositivos de terceros que admiten el”Modo perdido”como parte de la red Find My de Apple.
Si esto suena como un situación hipotética en la que se puede engañar a una persona para que comparta sus credenciales, pero no es así. Recientemente, los estafadores usaron el evento iPhone 13 de Apple para robar $ 69,000 en Bitcoins de los fanáticos de Apple que solo querían ver el nuevo iPhone. Los atacantes utilizan las vulnerabilidades del sistema y la ingenuidad de las personas para cometer fraude. Tenga cuidado al compartir información personal en línea o con cualquier otra persona.
