La funzione degli AirTag che consente a chiunque disponga di uno smartphone di scansionare il tracker smarrito per individuare le informazioni di contatto del proprietario può essere sfruttata per truffe di phishing, secondo un nuovo report condiviso da KrebsOnSecurity.
Quando un AirTag è impostato in modalità Smarrito, genera un URL su https://found.apple.com e consente al proprietario dell’AirTag di inserire un numero di telefono o un indirizzo e-mail di contatto. Chiunque esegua la scansione dell’AirTag viene quindi indirizzato automaticamente all’URL con le informazioni di contatto del proprietario, senza alcun accesso necessario per visualizzare i dettagli forniti.
Secondo KrebsOnSecurity, questa modalità non impedisce ai malintenzionati di iniettare codice arbitrario nel campo del numero di telefono, quindi una persona che esegue la scansione di un AirTag può essere reindirizzata a una pagina di accesso iCloud fasulla o a un altro sito dannoso. Se la vittima non sa che non sono necessarie informazioni personali per visualizzare i dettagli di un AirTag smarrito potrebbe quindi essere spinto a fornire il proprio login a iCloud o altri dettagli personali. Oppure, il reindirizzamento potrebbe tentare di scaricare software dannoso.
Questo problema è stato scoperto dal consulente per la sicurezza Bobby Raunch, che ha dichiarato a KrebsOnSecurity che la vulnerabilità rende gli AirTag pericolosi: “Non riesco a ricordare un altro caso in cui questi piccoli dispositivi di localizzazione di livello consumer a basso costo come questo potrebbero essere usati come armi“.
Rauch ha contattato Apple il 20 giugno e l’azienda ha impiegato diversi mesi per indagare sul problema. Giovedì scorso, Apple ha dichiarato che avrebbe affrontato questa vulnerabilità in un prossimo aggiornamento e ha chiesto al ricercatore di non parlarne in pubblico.
Poiché Apple non ha fornito informazioni su eventuali premi in denaro legati al programma bug bounty per chi scopre vulnerabilità di sicurezza, Rauch ha deciso di condividere i dettagli sul bug.
Ho detto ad Apple: ‘Sono disposto a lavorare con voi se potete fornire alcuni dettagli su quando prevedete di rimediare a questo problema e se ci sarà un riconoscimento o un pagamento tramite bug bounty’. Gli dissi anche che avrei pubblicato i risultati dopo 90 giorni se non avessi ricevuto informazioni min merito. La loro risposta è stata fondamentalmente, ‘Apprezzeremmo se non facessi trapelare queste informazioni’.
Dopo queste dichiarazioni, è probabile che Apple velocizzi il processo di update e rilasci un aggiornamento software per AirTag.