PSA: Esteja avisado: as Apple AirTags são atualmente vulneráveis a ataques de scripts entre sites armazenados (XSS). Entre as várias explorações de XSS possíveis está um redirecionamento de site simples. Se você encontrar uma AirTag e for solicitado a fazer login no iCloud para alertar o proprietário, você encontrou uma tag “armada”. Não insira suas credenciais! Nenhum login é necessário para relatar que você encontrou uma AirTag.
Um pesquisador de segurança descobriu que os AirTags da Apple são vulneráveis a ataques de injeção de código XSS. Um invasor simplesmente precisa inserir o código malicioso no campo do número de telefone antes de colocar o controle remoto no modo Perdido e, em seguida, deixá-lo em algum lugar para uma vítima desavisada encontrar.
Quando o bom samaritano encontra a AirTag e a verifica para relatá-la como encontrada, o código pode redirecionar a vítima para uma página de login do iCloud clonada que registra as credenciais do usuário com um keylogger. Ele pode então direcionar de volta para o site real da Apple Found, que não requer um login, e o processo de relatório pode continuar normalmente.
Bobby Rauch, um consultor de segurança baseado em Boston, descobriu a falha do dia zero em junho. Ele notificou a Apple sobre a vulnerabilidade e deu a eles o padrão de 90 dias antes de divulgá-lo ao público. Durante sua espera, a Apple nunca o contatou sobre se uma correção estava a caminho, nem se ele seria creditado e premiado com uma recompensa por bug.
Depois de ir a público, a Apple confirmou a falha de segurança e disse à 9to5Mac que estava trabalhando em uma correção. No entanto, não havia um prazo para quando um patch estaria disponível.
Além de redirecionar as vítimas para um site de phishing, Rauch disse que outros tipos de injeções são possíveis, incluindo sequestro de token de sessão, clickjacking e muito mais.
“Um invasor pode criar Airtags como arma e deixá-los por aí, vitimando pessoas inocentes que estão simplesmente tentando ajudar uma pessoa a encontrar seu Airtag perdido”, escreveu ele.
Um exemplo de como funciona o ataque de redirecionamento pode ser visto no vídeo acima. Um usuário experiente pode notar as mudanças de domínio de “found.apple.com” para “10.0.1.137”, mas uma pessoa comum pode nem notar nada suspeito. O invasor também pode usar um nome de domínio que seria facilmente esquecido.
A mitigação mais potente para esse exploit é o conhecimento. Os usuários devem saber que para relatar uma AirTag encontrada, nenhum login é necessário. No entanto, isso não elimina os riscos de ser vítima de outros tipos de injeção.