A Apple já sabia sobre o exploit há meses.
Fonte: Wired Magazine
Sinal: Forte
Tendência: Werable
OS SUCESSOS CONTINUAM chegando ao programa de recompensa de bugs da Apple, que os pesquisadores de segurança dizem ser lento e inconsistente para responder a seus relatórios de vulnerabilidade.
Desta vez, o vuln du jour é devido à falha em limpar um campo de entrada do usuário - especificamente, o campo de número de telefone que os proprietários de AirTag usam para identificar seus dispositivos perdidos.
O consultor de segurança e testador de invasão Bobby Rauch descobriu que os AirTags da Apple - minúsculos dispositivos que podem ser afixados em itens perdidos com frequência, como laptops, telefones ou chaves de carro - não higienizam a entrada do usuário. Esse descuido abre a porta para que os airTags sejam usados em um ataque de queda. Em vez de semear o estacionamento de um alvo com drives USB carregados com malware , um invasor pode lançar uma AirTag preparada de forma maliciosa.
Esse tipo de ataque não precisa de muito know-how tecnológico - o invasor simplesmente digita um XSS válido no campo de número de telefone do AirTag, coloca o AirTag no modo Perdido e o joga em algum lugar onde o alvo provavelmente o encontrará. Em teoria, digitalizar uma AirTag perdida é uma ação segura - ela só deve abrir uma página da Web em https://found.apple.com/. O problema é que o found.apple.com, então, incorpora o conteúdo do campo do número de telefone no site, conforme exibido no navegador da vítima, sem limpeza.
A maneira mais óbvia de explorar essa vulnerabilidade, relata Rauch, é usar XSS simples para abrir uma caixa de diálogo de login do iCloud falso no telefone da vítima. Isso não exige muito em termos de código.
Se found.apple.com incorpora inocentemente o XSS acima na resposta para um AirTag escaneado, a vítima obtém uma janela pop-up que exibe o conteúdo de badside.tld / page.html. Isso pode ser uma exploração de dia zero para o navegador ou simplesmente uma caixa de diálogo de phishing. Rauch levanta a hipótese de uma caixa de diálogo de login do iCloud falsa, que pode ser transformada em algo parecido com a coisa real - mas que, em vez disso, despeja as credenciais da Apple da vítima no servidor de destino.
Embora este seja um exploit atraente, não é de forma alguma o único disponível - quase tudo que você pode fazer com uma página da web está na mesa e disponível. Isso varia de um simples phishing, como visto no exemplo acima, até a exposição do telefone da vítima a uma vulnerabilidade de navegador sem cliques de dia zero.
Mais detalhes técnicos - e vídeos simples exibindo a vulnerabilidade e a atividade de rede gerada pela exploração da vulnerabilidade de Rauch - estão disponíveis na divulgação pública de Rauch no Medium.
Esta divulgação pública trazida a você pela Apple
De acordo com relatórios da Krebs on Security , Rauch está divulgando publicamente a vulnerabilidade em grande parte devido a falhas de comunicação da Apple - um refrão cada vez mais comum.
Rauch disse a Krebs que inicialmente revelou a vulnerabilidade em particular para a Apple em 20 de junho, mas por três meses tudo o que a empresa disse a ele é que "ainda estava investigando". Esta é uma resposta estranha para o que parece ser um bug extremamente simples de verificar e mitigar. Na quinta-feira passada, a Apple enviou um e-mail a Rauch para dizer que a fraqueza seria corrigida em uma atualização futura, e pediu que ele não falasse sobre isso publicamente nesse ínterim.
A Apple nunca respondeu às perguntas básicas que Rauch fazia, como se tinha um prazo para consertar o bug, se planejava creditar a ele pelo relatório e se se qualificaria para uma recompensa . A falta de comunicação de Cupertino levou Rauch a ir a público no Medium, apesar do fato de a Apple exigir que os pesquisadores calem suas descobertas se quiserem crédito e / ou compensação por seu trabalho.
Rauch expressou vontade de trabalhar com a Apple, mas pediu à empresa que "fornecesse alguns detalhes de quando você planeja remediar isso e se haveria algum reconhecimento ou pagamento de recompensa por bug". Ele também avisou a empresa que planeja publicar em 90 dias. Rauch diz que a resposta da Apple foi "basicamente, agradeceríamos se você não divulgasse isso".
Comments