Apple AirTag

Apple AirTag, scoperta una nuova vulnerabilità

Gli hacker possono trasformare facilmente gli AirTag in macchine da phishing con un semplice exploit
Apple AirTag, scoperta una nuova vulnerabilità FASTWEB S.p.A.

Problemi di sicurezza per Apple: la scorsa settimana, l'azienda ha corretto un exploit nel sistema operativo macOS, mentre ora sta affrontando un contraccolpo per una vulnerabilità amatoriale degli AirTags nota da mesi e che non si è mai preoccupata di risolvere.

Gli AirTag sono piccoli tracker che si attaccano a zaini, borse, bagagli e altri oggetti di valore. Se qualcuno perde la borsa dotata di AirTag, può tracciare la sua posizione utilizzando la rete “Dov’è”, alimentata in modo anonimo da iPhone e altri dispositivi Apple.

Ma il più delle volte, gli oggetti smarriti vengono trovati da estranei. Ecco perché AirTag ha una "modalità oggetto smarrito", un'impostazione che consente all’estraneo dal cuore d’oro di scansionare il tracker per vedere il numero di telefono del proprietario. La scansione è facile: basta toccare l'AirTag con il proprio iPhone.

Sfortunatamente però, un difetto di progettazione in AirTags potrebbe trasformare i tracker in strumenti per gli hacker.

Come scoperto dal ricercatore di sicurezza Bobby Rauch, Apple non “disinfetta” il campo di immissione del numero di telefono che i proprietari di AirTag compilano durante la configurazione dei loro tracker. È infatti possibile inserire qualsiasi cosa, in questo campo di immissione, incluso un codice dannoso.

E questo è un grosso problema. Quando si esegue la scansione di un AirTag smarrito, si “trasferisce” il numero di telefono del proprietario sull’iPhone. L’iPhone quindi incorpora il numero di telefono nella pagina web https://found.apple.com/. Quindi, se il campo del numero di telefono di un AirTag perso è pieno di codice XSS dannoso, il sito web di Apple lo incorporerà, senza fare domande.

Questa vulnerabilità rende estremamente facili i tentativi di phishing mirati. Un hacker può programmare una falsa casella di accesso iCloud da mostrare quando viene scansionato l’AirTag "smarrito", ad esempio. L’hacker potrebbe quindi posizionare questo AirTag vicino all'auto della vittima o alla porta d'ingresso per assicurarsi che venga scoperto e scansionato.

Gli hacker potrebbero anche sfruttare questa vulnerabilità per attivare exploit zero-day basati su browser su un iPhone. Questi exploit potrebbero mandare in crash o danneggiare l’iPhone, ma ad essere onesti, ci sono modi molto più semplici per fornire tali exploit.

Apple non ha commentato pubblicamente il problema.

Tecnicamente parlando, la soluzione dovrebbe essere molto semplice. Apple non ha bisogno di inviare un aggiornamento per iPhone o AirPods; deve solo fare in modo che la pagina web https://found.apple.com/ “ripulisca” i numeri di telefono in arrivo. La speranza è che Apple prenda i provvedimenti per risolvere completamente questo problema

Questa notizia comunque non dovrebbe scoraggiarvi dalla scansione degli AirTag, anche se dovrebbe rendervi più vigili. Se vi viene chiesto di accedere a iCloud o a un altro account dopo aver scansionato un AirTag, ad esempio, allora qualcosa non va: Apple non richiede alcuna informazione di accesso, quando viene scansionato un AirTag.

Comunque, nessuno vi obbliga a scansionare un AirTag. Se trovate un oggetto smarrito con un AirTag e non vi sentite a vostro agio a scansionarlo, potete portarlo all'Apple Store più vicino (o ad una stazione di polizia). Sappiate solo che probabilmente non c'è nulla di male a scansionarlo, purché non digitiate alcuna informazione di accesso nel popup del browser AirTags.
 

Fonte: reviewgeek.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail