Un semplice bug sta lasciando gli utenti di AirTag vulnerabili a un attacco

I successi continuano arrivando al programma bug-bounty di Apple, che secondo i ricercatori di sicurezza è lento e incoerente per rispondere ai suoi rapporti di vulnerabilità.

Questa volta, il vuln del giorno è dovuto alla mancata sanificazione di un campo di input dell’utente, in particolare, il campo del numero di telefono utilizzato dai proprietari di AirTag per identificare i propri dispositivi smarriti.

Il consulente per la sicurezza e tester di penetrazione Bobby Rauch ha scoperto che Apple’s AirTag—piccoli dispositivi che possono essere attaccati a oggetti smarriti di frequente come laptop, telefoni o chiavi della macchina—non disinfettano l’input dell’utente. Questa svista apre le porte all’utilizzo degli AirTag in un attacco a caduta. Invece di seminare il parcheggio di un bersaglio con unità USB caricate con malware, un utente malintenzionato può rilasciare un AirTag preparato in modo dannoso.

Questo tipo di attacco non richiede molto know-how tecnologico: l’attaccante digita semplicemente XSS valido nel campo del numero di telefono dell’AirTag, quindi mette l’AirTag in modalità Lost e lo rilascia in un punto in cui è probabile che il bersaglio lo trovi. In teoria, la scansione di un AirTag smarrito è un’azione sicura: dovrebbe solo far apparire una pagina web su https://found.apple.com/. Il problema è che found.apple.com incorpora quindi il contenuto del campo del numero di telefono nel sito Web come visualizzato sul browser della vittima, non igienizzato.

Il modo più ovvio per sfruttare questa vulnerabilità, riporta Rauch, è utilizzare un semplice XSS per far apparire una falsa finestra di dialogo di accesso iCloud sul telefono della vittima. Questo non richiede molto in termini di codice.

Se found.apple.com incorpora innocentemente l’XSS sopra nella risposta per un AirTag scansionato, la vittima ottiene una finestra popup che mostra il contenuto di badside.tld/page.html. Potrebbe trattarsi di un exploit zero-day per il browser o semplicemente di una finestra di dialogo di phishing. Rauch ipotizza una falsa finestra di dialogo di accesso iCloud, che può essere fatta sembrare proprio come la cosa reale, ma che invece scarica le credenziali Apple della vittima sul server del bersaglio.

Sebbene questo sia un exploit avvincente, non è affatto l’unico disponibile: praticamente tutto ciò che puoi fare con una pagina web è sul tavolo e disponibile. Ciò va dal semplice phishing, come mostrato nell’esempio sopra, all’esposizione del telefono della vittima a una vulnerabilità del browser no-click zero-day.

Maggiori dettagli tecnici e semplici video che mostrano sia la vulnerabilità che l’attività di rete generata dall’exploit della vulnerabilità di Rauch sono disponibili al pubblico di Rauch divulgazione su Medio.

Questa informativa al pubblico fornita da Apple

Secondo quanto riportato da Krebs sulla sicurezza, Rauch sta rivelando pubblicamente la vulnerabilità in gran parte a causa di errori di comunicazione da parte di Apple, e sempre più Comune ritornello.

Rauch ha detto a Krebs di aver inizialmente rivelato la vulnerabilità in privato ad Apple il 20 giugno, ma per tre mesi tutto ciò che l’azienda gli ha detto è che “stava ancora indagando”. Questa è una risposta strana per quello che sembra essere un bug estremamente semplice da verificare e mitigare. Giovedì scorso, Apple ha inviato un’e-mail a Rauch per dire che la debolezza sarebbe stata affrontata in un prossimo aggiornamento e gli ha chiesto di non parlarne pubblicamente nel frattempo.

Apple non ha mai risposto alle domande di base che Rauch ha posto, come se avesse una tempistica per correggere il bug, se avesse pianificato di accreditargli il rapporto e se si sarebbe qualificato per una taglia. La mancanza di comunicazione da Cupertino ha spinto Rauch ad andare pubblico su Medium, nonostante Apple richieda ai ricercatori di tacere sulle loro scoperte se vogliono credito e/o compenso per il loro lavoro.

Rauch ha espresso la volontà di lavorare con Apple, ma ha chiesto alla società di “fornire alcuni dettagli su quando si prevede di rimediare a questo problema e se ci sarebbe stato un riconoscimento o un pagamento di bug bounty”. Ha anche avvertito la società che aveva intenzione di pubblicare in 90 giorni. Rauch afferma che la risposta di Apple è stata “fondamentalmente, apprezzeremmo se non lo facessi trapelare”.

Abbiamo contattato Apple per un commento.

Questa storia è apparsa originariamente su Ars Tecnica.


Altre grandi storie WIRED

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *