Ошибка в Apple AirTag позволяет совершить атаку “доброго самаритянина

Новое устройство слежения AirTag от Apple стоимостью 30 долларов имеет функцию, которая позволяет любому, кто найдет один из этих крошечных маячков, просканировать его с помощью мобильного телефона и узнать номер телефона владельца, если AirTag был переведен в режим потери. Но согласно новому исследованию, этой функцией можно злоупотребить, чтобы перенаправить доброго самаритянина на фишинговую страницу iCloud – или на любой другой вредоносный веб-сайт.

Режим потери” AirTag позволяет пользователям оповещать Apple о пропаже AirTag. При установке режима “Lost Mode” генерируется уникальный URL-адрес https://found.apple.com, и пользователь может ввести личное сообщение и контактный телефонный номер. Любой, кто найдет AirTag и отсканирует ее с помощью телефона Apple или Android, сразу же увидит уникальный URL-адрес Apple с сообщением владельца.

При сканировании AirTag в режиме Lost Mode отображается короткое сообщение, в котором нашедшему предлагается позвонить владельцу по указанному им номеру телефона. Эта информация появляется на экране, не требуя от нашедшего входа в систему или предоставления какой-либо личной информации. Но обычный добрый самаритянин может об этом не знать.

Это важно, потому что “Режим потери” Apple в настоящее время не препятствует пользователям внедрять произвольный компьютерный код в поле номера телефона – например, код, заставляющий устройство доброго самаритянина посетить фальшивую страницу входа в Apple iCloud.

Образец сообщения “Lost Mode”. Изображение: Medium @bobbyrsec

Уязвимость была обнаружена и сообщена Apple Бобби Раухом, консультантом по безопасности и тестером на проникновение из Бостона. Раух рассказал KrebsOnSecurity, что слабость AirTag делает устройства дешевыми и, возможно, очень эффективными физическими троянскими конями.

“Я не могу вспомнить другого случая, когда подобные небольшие устройства слежения потребительского класса по низкой цене могли бы стать оружием, – сказал Раух.

Рассмотрим сценарий, в котором злоумышленник бросает USB-флешку с вредоносным ПО на парковке компании, которую он хочет взломать. Скорее всего, рано или поздно какой-нибудь сотрудник подберет эту флешку и подключит ее к компьютеру – просто чтобы посмотреть, что на ней находится (на флешке может быть даже наклеена какая-нибудь заманчивая надпись, например “Зарплата сотрудников”).

Если это звучит как сценарий из фильма о Джеймсе Бонде, то вы не ошиблись. USB-накопитель с вредоносным ПО – это, скорее всего, способ, с помощью которого американские и израильские киберхакеры запустили печально известного червя Stuxnet во внутреннюю сеть с воздушным ограждением, обеспечивающую работу иранских предприятий по обогащению ядерного топлива десять лет назад. В 2008 году кибератака, охарактеризованная в то время как “худший взлом военных компьютеров США в истории”, была отслежена по флэш-накопителю USB, оставленному на парковке одного из объектов Министерства обороны США.

В современной версии этой истории устройство слежения AirTag может быть использовано для перенаправления доброго самаритянина на фишинговую страницу или на веб-сайт, который пытается установить на его устройство вредоносное программное обеспечение.

Раух связался с Apple по поводу ошибки 20 июня, но в течение трех месяцев на его вопросы компания отвечала только, что все еще ведет расследование. В прошлый четверг компания отправила Раучу повторное письмо, в котором говорилось, что они планируют устранить недостаток в одном из ближайших обновлений, а пока он может не говорить об этом публично

По словам Рауха, Apple так и не ответила на основные вопросы, которые он задал по поводу ошибки, например, есть ли у компании сроки ее устранения, и если да, то планируют ли они указать его имя в сопроводительном бюллетене безопасности. Или может ли его сообщение претендовать на участие в программе Apple “bug bounty”, которая обещает финансовое вознаграждение до 1 миллиона долларов исследователям безопасности, сообщающим об ошибках в продуктах Apple.

Раух сказал, что за годы своей работы он сообщил о многих уязвимостях программного обеспечения другим производителям, и что отсутствие связи с Apple побудило его обнародовать свои выводы – хотя Apple утверждает, что молчание об ошибке до ее устранения является способом, с помощью которого исследователи получают признание в рекомендациях по безопасности.

Я сказал им: “Я готов работать с вами, если вы сможете предоставить некоторые подробности о том, когда вы планируете устранить эту ошибку, и будут ли какие-либо выплаты за признание или bug bounty”, – сказал Раух, отметив, что он сказал Apple, что планирует опубликовать свои результаты в течение 90 дней после уведомления. “Их ответ был в основном таков: “Мы будем благодарны, если вы не будете об этом распространяться””.

Опыт Рауха повторяет опыт других исследователей, опрошенных в недавней статье Washington Post о том, как невесело бывает сообщать об уязвимостях в системе безопасности Apple, печально известной секретной компании. Общие жалобы сводились к тому, что Apple медленно исправляет ошибки и не всегда платит хакерам за их сообщения или публично признает их заслуги, а также к тому, что исследователи часто не получают от компании практически никакой обратной связи

Риск, конечно, заключается в том, что некоторые исследователи могут решить, что продавать свои эксплойты брокерам уязвимостей или в даркнете не так хлопотно – и в том, и в другом случае вознаграждение часто намного выше, чем вознаграждение за баги.

Существует также риск, что разочарованные исследователи просто опубликуют свои находки в Интернете для всеобщего обозрения и использования – независимо от того, выпустил ли производитель исправление. Ранее на этой неделе исследователь безопасности под ником “illusionofchaos” опубликовал статьи о трех уязвимостях нулевого дня в мобильной операционной системе iOS от Apple – очевидно, из-за разочарования, вызванного попытками работать с программой Apple “bug bounty”.

Ars Technica сообщает, что 19 июля Apple исправила ошибку, о которой llusionofchaos сообщил 29 апреля, но Apple не указала его в своем бюллетене безопасности.

Разочарование тем, что Apple не выполнила свои собственные обещания, заставило llusionofchaos сначала угрожать, а затем публично отказаться от трех нулевых дней этой недели”, – пишет Джим Солтер для Ars. “По словам самого illusionofchaos: “Десять дней назад я попросил объяснений и предупредил, что обнародую свои исследования, если не получу объяснений. Моя просьба была проигнорирована, поэтому я делаю то, что обещал”.

Раух сказал, что он понимает, что найденная им ошибка AirTag, вероятно, не является самой насущной проблемой безопасности или конфиденциальности, над которой сейчас бьется Apple. Но, по его словам, исправить этот конкретный недостаток не так уж и сложно, поскольку для этого требуется ввести дополнительные ограничения на данные, которые пользователи AirTag могут вводить в настройках телефонного номера в режиме Lost Mode.

“Это довольно легко исправить”, – сказал он. “Учитывая это, я представляю, что они, вероятно, хотят также выяснить, как это было упущено в первую очередь”.

Компания Apple не ответила на просьбу о комментарии.

Обновление, 12:31: Раух поделился электронным письмом, показывающим, что Apple сообщила о своем намерении исправить ошибку всего за несколько часов до – а не после – того, как KrebsOnSecurity обратился к ним за комментарием. История выше была изменена, чтобы отразить это.

Оставьте комментарий