Apple AirTags: „Verloren“-Modus kann angeblich attackiert werden
von Olli | 5 Kommentare
Apple hat mit den AirTags ein kleines Gerät vorgestellt, das im Find-My-Netzwerk genutzt wird, um Alltagsgegenstände wie Schlüssel, Rucksäcke und allerlei andere Dinge auffindbar zu machen, sollten diese mal verloren gehen. Hat man den Schlüsselbund tatsächlich nicht einfach nur in der Wohnung verlegt, sondern irgendwo liegen lassen, kann man den AirTag in einen sogenannten „Verloren“-Modus versetzen und seine Kontaktdaten wie Mail-Adresse und Telefonnummer hinterlegen. Der Finder kann den AirTag dann per NFC scannen und bekommt eine Seite mit eben jenen Informationen angezeigt – ohne, dass er sich irgendwo einloggen muss.
Der Sicherheitsforscher Bobby Rauch hat nun herausgefunden, dass genau dieser Prozess für eine Attacke ausgenutzt werden könne, indem man schadhaften Code in die Kontaktinformationen hinterlegt und den Finder somit nicht auf die originale Seite von Apple, sondern auf eine andere Webseite umleitet. Dort könnte man den Nutzer zum Login per iCloud-Account bewegen oder eine App herunterladen lassen. Setzt natürlich voraus, dass es der AirTag-Besitzer nicht gut meint und der Finder der Meinung ist, er müsse nach Abfrage gefundener Gegenstände persönliche Daten eingeben. Denn: Letzten Endes kann man jeden NFC-Chip mit irgendwelchen Adressen bestücken.
Rauch kontaktierte Apple bereits im Juni, der Konzern benötigte mehrere Monate für die Analyse und teilte dem Forscher mit, dass die Sicherheitslücke in einem Update behoben wird und er nicht in der Öffentlichkeit darüber sprechen soll. Da Apple ihm aber keine Antwort auf die Frage nach Erwähnung oder Einbeziehung in das Bug-Bounty-Programm gab, teilte er den Bug nun KrebsOnSecurity mit.
„I told them, ‚I’m willing to work with you if you can provide some details of when you plan on remediating this, and whether there would be any recognition or bug bounty payout‘,“ … „Their response was basically, ‚We’d appreciate it if you didn’t leak this.'“
Keine schöne Sache, bleibt zu hoffen, dass Apple die Sache bald fixt und den Umgang mit den Forschern, die Apple helfen, verbessert. Solltet ihr einen AirTag finden und scannen, passt bis dahin auf, dass ihr nirgends irgendwelche Daten hinterlasst. Das wäre gegen den eigentlich einfach gedachten Prozess von Apple.
![[5-Stück] Hülle für Apple AirTag Anhänger, Airtags Schlüsselanhänger Silikon Ganzkörper Kratzfest, Case...](https://m.media-amazon.com/images/I/41pqSHB6+AL._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Um herauszufinden, dass man die Funktion grundsätzlich mißbrauchen kann, muss man nun wahrlich kein „Sicherheitsforscher“ sein. Dafür reicht der normale Verstand aus.
Das Ganze wirkt ein bisschen wie ein beleidigtes Kind……ihr habt mich nicht aufgenommen, also petze ich.
Ein simpler QR Code erfüllt übrigens den gleichen Zweck, und hat den Vorteil, dass man die URL sehen kann, so lange kein URL-Verkürzer genutzt wird.
So gut NFC auch gemeint ist, sollte man hier grundsätzlich sehr vorsichtig sein, weil es völlig intransparent ist, was sich hinter dem NFC Tag verbirgt.
Genau wie es eigene QR-Code-Scanner-Apps gibt, gibt es auch eigene NFC-Scanner-Apps. Damit einfach scannen und man sieht, was sich auf dem Tag befindet, ohne es direkt zu öffnen/auszuführen…
Ach Apple. Dass Eingabefelder auf unzulässigen Schmutz geprüft werden müssen, ist doch 1. Klasse in der Programmierer-Grundschule. Und dann so stümperhaft damit umgehen, wenn man erwischt wird.
Von Privacy und Security ist echt kaum noch was übrig. Nur heiße Marketing Luft.
Die Reaktion von Apple ist bedenklich und nicht unbedingt förderlich für die Zukunft. Was machen denn zukünftig Leute, die potentielle Sicherheitslücken bei Apple entdecken? Melden in dem Wissen, dass Apple es nicht honoriert? Dann doch lieber ein bisschen Fame kassieren und an eins der einschlägigen Blogs weiterreichen…
Statt abzuwarten, wie die Geschichte ausgeht, nimmt er lieber seine 15 Minutes of Fame in Anspruch. Kann man mal machen.