Apple
Masalah keselamatan terbaru Apple adalah menghancurkan dan menggelikan. Minggu lalu, kami mengetahui bahawa syarikat itu memperbaiki eksploitasi macOS dengan cara paling lambat, dan sekarang, syarikat itu menghadapi reaksi kerentanan AirTags amatir yang sudah diketahui selama berbulan-bulan dan tidak pernah peduli untuk memperbaikinya.
AirTag Tidak Bersihkan”Nombor Telefon”
AirTag adalah pelacak kecil yang melekat pada ransel, dompet, bagasi, dan barang berharga lainnya. Sekiranya seseorang kehilangan beg yang dilengkapi dengan AirTag, mereka dapat mengesan lokasinya menggunakan rangkaian Cari Saya, yang dikuasakan secara anonim oleh iPhone dan peranti Apple yang lain.
Tetapi lebih kerap, artikel yang hilang ditemui oleh orang asing. Itulah sebabnya AirTag mempunyai”mode hilang”, tetapan yang memungkinkan Orang Samaria mengimbas pelacak untuk melihat nombor telefon pemiliknya. Pengimbasan adalah mudah — anda hanya menyentuh AirTag dengan iPhone anda.
Sayangnya, kelemahan reka bentuk di AirTag dapat mengubah pelacak menjadi alat yang murah untuk serangan jatuh. Seperti yang ditemui oleh penyelidik keselamatan Bobby Rauch , Apple tidak membersihkan bidang kemasukan nombor telefon yang diisi oleh pemilik AirTag semasa menyiapkan pelacak mereka. Anda boleh memasukkan apa sahaja di medan entri ini, termasuk kod jahat.
Dan itu adalah masalah besar. Apabila anda mengimbas AirTag yang hilang, ia memberikan”nombor telefon”pemiliknya ke iPhone anda. IPhone anda kemudian memasukkan”nombor telefon”di laman web https://found.apple.com/. Oleh itu, jika medan nombor telefon AirTag yang hilang penuh dengan kod XSS yang berniat jahat, laman web Apple akan menyisipkannya, tidak ada pertanyaan yang diajukan.
Kerentanan ini menjadikan percubaan pancingan data yang disasarkan sangat mudah. Penggodam dapat memprogram kotak masuk iCloud palsu untuk muncul ketika AirTag”hilang”mereka diimbas, misalnya. Mereka kemudian dapat memasang AirTag ini di dekat kereta atau pintu depan mangsa untuk memastikannya ditemui dan diimbas.
Penggodam juga dapat menggunakan kerentanan ini untuk mencetuskan eksploitasi sifar-hari berasaskan penyemak imbas pada iPhone. Eksploitasi ini boleh merosakkan atau merosakkan iPhone anda, tetapi untuk bersikap adil, eksploitasi seperti itu tidak akan menguntungkan penggodam (dan ada cara yang lebih mudah untuk menyampaikan eksploitasi tersebut).
Bulan-bulan yang dihabiskan Apple Hands
Bobby Rauch, penyelidik yang menemui kerentanan ini, melaporkannya kepada Apple pada 20 Jun. Syarikat itu menghabiskan tiga bulan untuk memberitahu Rauch bahawa pihaknya sedang menyiasat masalah tersebut, dan menolak untuk memberitahunya apakah dia akan menerima kredit atau karunia untuk penemuannya (ini adalah ganjaran standard untuk mengikuti program bug bounty Apple ).
Apple meminta Rauch untuk tidak”membocorkan”bug itu, tetapi menolak untuk bekerja dengannya atau memberikan garis masa untuk patch. Dia memberi amaran kepada syarikat bahawa dia akan memaparkan kerentanan itu setelah 90 hari, dan akhirnya melakukannya dalam catatan blog Medium . Namun, Apple belum mengomentari masalah itu secara terbuka, walaupun sebelumnya mengatakan kepada Rauch bahawa ia bermaksud untuk menyelesaikan masalah tersebut.
Secara teknikal, ini harus menjadi penyelesaian yang sangat mudah. Apple tidak perlu mendorong kemas kini untuk iPhone atau AirPods; ia hanya perlu membuat laman web https://found.apple.com/membersihkan”nombor telefon”masuk. Tetapi saya harap Apple mengambil langkah untuk menyelesaikan masalah ini sepenuhnya. Syarikat itu terus melakukan kesilapan bodoh dan menolak tampalan setengah untuk perkara yang semestinya selamat semasa pelancaran.
Belum lagi, Apple enggan berkomunikasi dengan orang yang cuba melaporkan masalah melalui program rasuah bug rasminya. Sekiranya Apple serius dalam soal keselamatan, ia perlu mengatasi kelemahan perisian dengan cepat dan mula memperlakukan pakar keselamatan dengan hormat. Lagipun, sebilangan besar pakar keselamatan ini melakukan kerja Apple secara percuma.
Adakah Selamat Memindai AirTag?
Berita ini tidak boleh mengecewakan anda daripada mengimbas AirTag, walaupun semestinya membuat anda lebih berwaspada. Sekiranya anda diminta untuk log masuk ke iCloud atau akaun lain setelah mengimbas AirTag, misalnya, ada masalah — Apple tidak meminta maklumat log masuk apabila AirTag yang sah diimbas.
AirTag yang ditinggalkan dengan sendirinya juga merupakan bendera merah… semacam. Oleh kerana pelacak ini tidak mempunyai gelung rantai kunci bawaan, mereka dapat keluar dari beg atau melepaskan diri dari sarung yang murah. Dalam kebanyakan kes, AirTag sendirian adalah hasil dari kecerobohan.
Bagaimanapun, tidak ada yang memaksa anda untuk memindai AirTag. Sekiranya anda menemui item yang hilang dengan AirTag dan tidak selesa mengimbasnya, anda boleh membawanya ke Apple Store (atau balai polis, saya rasa) dan menjadikannya masalah mereka. Ketahuilah bahawa mungkin tidak ada salahnya mengimbasnya, selagi anda tidak memasukkan maklumat log masuk dalam pop timbul penyemak imbas AirTags.
Sumber: Bobby Rauch melalui Krebs on Security , Ars Technica
