Die AirTag-Funktion, mit der jede Person, die ein Smartphone besitzt, einen verlorenen AirTag scannen kann, um die Kontaktinformationen des Besitzers zu finden, kann für Phishing-Betrügereien missbraucht werden. Das hat nun ein neuer Bericht enthüllt.
Wenn ein AirTag in den Verloren-Modus versetzt wird, generiert er eine URL für https://found.apple.com und ermöglicht es dem AirTag-Besitzer, eine Telefonnummer oder E-Mail-Adresse zu hinterlegen. Jeder, der den AirTag mittels NFC-Schnittstelle scannt, wird dann automatisch zu dieser URL mit den Kontaktinformationen des Besitzers weitergeleitet, ohne dass ein Login oder persönliche Daten erforderlich sind, um die angegebenen Kontaktdaten einzusehen.
„Verloren Modus“: Telefonnummernfeld könnte für Phishing missbraucht werden
Laut KrebsOnSecurity verhindert der „Verloren Modus“ jedoch nicht, dass Benutzer beliebigen Code in das Telefonnummernfeld einfügen, so dass eine Person, die einen AirTag scannt, auf eine gefälschte iCloud-Anmeldeseite oder eine andere bösartige Website umgeleitet werden kann. Jemand, der nicht weiß, dass keine persönlichen Daten erforderlich sind, um die Informationen eines AirTags einzusehen, könnte dann dazu verleitet werden, seine iCloud-Anmeldedaten oder andere persönliche Daten anzugeben. Alternativ dazu könnte auch durch die Umleitung bösartige Software heruntergeladen oder auf eine andere Weise ausgeführt werden. Diese spezielle AirTag-Schwachstelle wurde von dem Sicherheitsberater Bobby Raunch entdeckt, der gegenüber KrebsOnSecurity erklärte, dass die Schwachstelle AirTags gefährlich macht.
Ich kann mich an keinen anderen Fall erinnern, in dem diese kleinen, kostengünstigen Ortungsgeräte für Verbraucher als Waffe eingesetzt werden konnten.
Schwachstelle: Apple bittet um stillschweigen
Rauch kontaktierte eigenen Angaben nach Apple bereits am 20. Juni. Interessanterweise brauchte das Unternehmen mehrere Monate, um den Fall zu untersuchen. Am vergangenen Donnerstag teilte Apple Rauch mit, dass die Schwachstelle in einem kommenden Update behoben wird. Im Zuge dessen bat Apple um stillschweigen. Daraufhin wollte Rauch wissen, ob er eine Belohnung erhalten wird. Apple selbst ging allerdings nicht auf seine Frage ein, weshalb er sich dazu entschlossen hat, die Schwachstelle publik zu machen. So zitiert KrebsOnSecurity Rauch wie folgt:
Ich habe ihnen gesagt: Ich bin bereit, mit euch zusammenzuarbeiten, wenn ihr mir mitteilen könnt, wann ihr die Schwachstelle beheben wollt und ob es eine Anerkennung oder eine Bug Bounty-Auszahlung geben wird. Er sagte Apple, dass er vorhabe, seine Erkenntnisse innerhalb von 90 Tagen nach der Meldung zu veröffentlichen. Die Antwort lautete: „Wir würden es begrüßen, wenn du das nicht veröffentlichst.
Erst letzte Woche hat der Sicherheitsforscher Denis Tokarev mehrere Zero-Day-Schwachstellen in iOS veröffentlicht, nachdem Apple seine Berichte ignoriert und die Probleme mehrere Monate lang nicht behoben hatte. Apple hat sich inzwischen entschuldigt. Doch das Unternehmen steht weiterhin in der Kritik für sein Bug Bounty Programm und die Langsamkeit, mit der es auf wichtige Meldungen wie diese reagiert. (Photo by Unsplash / Đức Trịnh)
