Bug di Apple AirTag (terbuka di tab baru) dapat dieksploitasi oleh pengguna jahat untuk secara tidak sengaja memikat orang Samaria yang baik hati ke a pengelabuan (terbuka di tab baru) skema.
Saat dimasukkan ke dalam “Mode Hilang”, AirTag akan mengeluarkan URL dan pesan kecil yang dipersonalisasi setiap kali dipindai oleh NFC-enabled Android (terbuka di tab baru) atau iPhone (terbuka di tab baru) siapa pun yang menemukan pelacak yang hilang.
Keamanan cyber (terbuka di tab baru) Namun peneliti menemukan bahwa Mode Hilang tidak menghentikan pengguna untuk menyuntikkan kode arbitrer ke bidang nomor teleponnya. Kekurangan ini dapat dimanfaatkan oleh penyerang untuk membawa orang samaritan yang membantu ke Apple palsu iCloud (terbuka di tab baru) halaman, dan phishing kredensial mereka.
“Seorang korban akan percaya bahwa mereka diminta untuk masuk ke iCloud sehingga mereka dapat menghubungi pemilik Airtag, padahal sebenarnya penyerang telah mengarahkan mereka ke halaman pembajakan kredensial,” menulis (terbuka di tab baru) Bobby Rauch yang menemukan kekurangannya.
Pelacak bersenjata
Rauch melaporkan masalah tersebut ke Apple beberapa bulan lalu, tetapi perusahaan hanya mengonfirmasi akan menangani masalah tersebut minggu lalu.
Menggambarkan bug sebagai kerentanan scripting lintas situs (XSS tersimpan), Rauch mengatakan itu dapat digunakan untuk serangan lain seperti pembajakan token sesi, atau clickjacking.
“Seorang penyerang dapat membuat AirTag yang dipersenjatai, dan meninggalkannya, mengorbankan orang yang tidak bersalah yang hanya mencoba membantu seseorang menemukan AirTag mereka yang hilang,” saran Rauch, yang telah membagikan langkah-langkah mendetail untuk membuat AirTag yang dipersenjatai tersebut.
