AirTags kan skicka användare till falska hemsidor – buggfix är på gång

av | sep 29, 2021 | Säkerhet

Apples nya AirTags kan användas som en slags trojansk häst och skicka en användare till en falsk hemsida. Apple har fått information om problemet och utlovar en buggfix inom kort.

Det är säkerhetskontrollen Bobby Rauch som upptäckt att AirTags kan användas för att indexera kod eller skicka användaren till en falsk hemsida. Buggen kan exploateras när/om en AirTag hittas och upphittaren ska försöka att ta reda på vem som äger den lilla enheten. I funktionen finns med det som kallas ”Lost Mode” – och i funktionen finns en egen, unik variant av sidan https://found.apple.com/.

Falsk iCloud

An attacker can carry out Stored XSS on this https://found.apple.com page, by injecting a malicious payload into the Airtag “Lost Mode” phone number field. A victim will believe they are being asked to sign into iCloud so they can get in contact with the owner of the Airtag, when in fact, the attacker has redirected them to a credential hijacking page. Other XSS exploits can be carried out as well like session token hijacking, clickjacking, and more. An attacker can create weaponized Airtags, and leave them around, victimizing innocent people who are simply trying to help a person find their lost Airtag.

Bobby Rauch

Genom att skicka användaren till en falsk sida, iCloud, så kan användare liras att lämna ifrån viktig, känslig personlig information och därmed riskera att bli av med sitt Apple ID konto.

90 dagar

Buggen hittades redan i juni i år och när Bonny Rauch lämnade över informationen till Apple så gav han också Apple de sedvanliga 90 dagarna för att åtgärda buggen – vilket Apple inte har gjort och därmed offentliggörs informationen.

Apple har nu kommenterat uppgifterna och sagt att en buggfix är på gång.

 

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: