Sprytny atak z użyciem AirTagów. Uważajcie na „zguby”

Analityk bezpieczeństwa znalazł ciekawą i nadającą się do praktycznego zastosowania podatność systemu Znajdź Apple dla AirTagów i zgodnych z nimi urządzeń. Atak pozwala na zdobycie np. danych do konta iCloud.

Atak za pomocą podrobionego nr telefonu

Jak wiecie, AirTagi i urządzenia z nimi zgodne np. lokalizatory Chipolo ONE Spot można wprowadzić w „Tryb utracony”. Znaleziony lokalizator w takim trybie pozwala na zeskanowanie za pomocą NFC lub Bluetooth znajdy, co przekierowuje znalazcę na stronę z informacjami kontaktowymi (nr tel. lub e-mail) oraz komunikatem od właściciela ustawionym podczas wprowadzania AirTaga w tryb utracony.

I właśnie tę funkcję sieci Znajdź Apple badacz wykorzystał do ataku.

Scenariusz jest następujący:

1. Atakujący preparuje pewną ilość AirTagów, które wprowadza w tryb utracony i podczas podawania numeru przechwytuje transmisję oraz wstrzykuje kod XSS z linkiem do spreparowanej strony np. logowania do iCloud.
2. Następnie atakujący rozmieszcza tak przygotowane AirTagi w lokalizacjach, gdzie atakowany może je znaleźć.
3. Ofiara znajduje AirTag, skanuje go i zapewne puka w numer telefonu, który się wyświetlił. 
4. Niestety zamiast propozycji połączenia, jest natychmiast przekierowywana na spreparowaną stronę ze wstrzykniętego linka. 

I tu już tylko od pomysłowości atakującego i celu ataku zależy, jak będzie chciał zmanipulować ofiarę. Jednym z prostszych scenariuszy jest wyświetlenie podrobionej strony do logowania iCloud. Ofiara może ulec wrażeniu, że tak wygląda proces powiadamiania właściciela zguby i poda dane do konta, a kto wie, czy i nie kod uwierzytelniania.

Jedynym słabym miejscem ataku jest wspomniane przekierowanie na stronę. Jeżeli ofiara nie wie, jak działa system Znajdź, to może się nabrać, jeżeli wie, to powinna nabrać podejrzeń. Jednak kto z nas już „nabrał doświadczeń” w znajdowaniu przedmiotów? 

Jak przygotować AirTagi do ataku?

Najtrudniejsze jest przechwycenie łączności podczas wprowadzania AirTaga (lub np. Chipolo, bo podatność nie dotyczy urządzeń, a systemu Znajdź) w tryb utracony. Jednak atakujący może to wykonać w zaciszu „laboratorium”, gdzie bez trudu własnym sprzętem przechwyci połączenie z własnych użytych do ataku urządzeń. Jak chce zapewnić sobie anonimowość, to już inna sprawa, bo system Znajdź działa tylko dla zalogowanych przez iCloud użytkowników.

Cały proces jest opisany i zilustrowany filmami na stronie: Zero-Day: Hijacking iCloud Credentials with Apple Airtags (Stored XSS).

Jest dobra wiadomość

Podatność jest łatwa do naprawienia i w zasadzie trochę głupio, że się przytrafiła. Wystarczy dodać odpowiednie funkcje sprawdzające na serwerach Apple obsługujących wprowadzanie w tryb utracony. Nie trzeba aktualizować nic na urządzeniach. Apple powinno zrobić to „migiem”. I sprawa przestanie być aktualna niebawem.

Jednak zanim do tego dojdzie, macie może jakiś pomysł na własny atak z użyciem Airtagowych pułapek i spreparowanych dla znalazcy stron WWW?