Bug Sederhana Membuat Pengguna AirTag Rentan terhadap Serangan


Hit terus datang ke program bug-bounty Apple, yang menurut peneliti keamanan lambat dan tidak konsisten untuk menanggapi laporan kerentanannya.

Kali ini, vuln hari ini adalah karena kegagalan untuk membersihkan bidang masukan pengguna—khususnya, bidang nomor telepon yang digunakan pemilik AirTag untuk mengidentifikasi perangkat mereka yang hilang.

Konsultan keamanan dan penguji penetrasi Bobby Rauch menemukan bahwa AirTags Apple—perangkat kecil yang dapat ditempelkan pada barang yang sering hilang seperti laptop, ponsel, atau kunci mobil—tidak membersihkan input pengguna. Pengawasan ini membuka pintu bagi AirTags untuk digunakan dalam serangan jatuh. Alih-alih menyemai tempat parkir target dengan drive USB yang sarat dengan malware, penyerang dapat menjatuhkan AirTag yang disiapkan secara berbahaya.

Serangan semacam ini tidak memerlukan banyak pengetahuan teknologi—penyerang cukup mengetikkan XSS yang valid ke dalam bidang nomor telepon AirTag, lalu menempatkan AirTag dalam mode Hilang dan menjatuhkannya di suatu tempat yang kemungkinan besar akan ditemukan oleh target. Secara teori, memindai AirTag yang hilang adalah tindakan yang aman—hanya akan memunculkan halaman web di https://found.apple.com/. Masalahnya found.apple.com kemudian menyematkan isi kolom nomor telepon di situs web seperti yang ditampilkan di browser korban, tidak bersih.

Cara paling jelas untuk mengeksploitasi kerentanan ini, lapor Rauch, adalah dengan menggunakan XSS sederhana untuk memunculkan dialog login iCloud palsu di ponsel korban. Ini sama sekali tidak membutuhkan banyak cara kode.

Jika found.apple.com dengan polosnya menyematkan XSS di atas ke dalam respons untuk AirTag yang dipindai, korban akan mendapatkan jendela sembulan yang menampilkan konten badside.tld/page.html. Ini mungkin eksploitasi zero-day untuk browser atau hanya dialog phishing. Rauch menghipotesiskan dialog login iCloud palsu, yang dapat dibuat agar terlihat seperti aslinya—tetapi yang membuang kredensial Apple korban ke server target.

Meskipun ini adalah eksploit yang menarik, itu tidak berarti satu-satunya yang tersedia — hampir semua hal yang dapat Anda lakukan dengan halaman web ada di atas meja dan tersedia. Itu berkisar dari phishing sederhana seperti yang terlihat pada contoh di atas hingga mengekspos ponsel korban ke kerentanan browser tanpa klik tanpa klik.

Detail teknis lainnya—dan video sederhana yang menampilkan kerentanan, dan aktivitas jaringan yang ditimbulkan oleh eksploitasi kerentanan Rauch—tersedia di pengungkapan publik Rauch di Medium.

Pengungkapan Publik Ini Dipersembahkan oleh Apple

Menurut laporan dari Krebs on Security, Rauch secara terbuka mengungkapkan kerentanan sebagian besar karena kegagalan komunikasi dari Apple—hal yang semakin umum.

Rauch mengatakan kepada Krebs bahwa dia awalnya mengungkapkan kerentanan secara pribadi kepada Apple pada 20 Juni, tetapi selama tiga bulan semua perusahaan akan memberi tahu dia bahwa itu “masih menyelidiki.” Ini adalah respons aneh untuk apa yang tampaknya merupakan bug yang sangat sederhana untuk diverifikasi dan dimitigasi. Kamis lalu, Apple mengirim email kepada Rauch untuk mengatakan kelemahan itu akan diatasi dalam pembaruan yang akan datang, dan meminta agar dia tidak membicarakannya secara terbuka untuk sementara.

Apple tidak pernah menjawab pertanyaan dasar yang diajukan Rauch, seperti apakah Apple memiliki batas waktu untuk memperbaiki bug, apakah Apple berencana untuk mengkreditnya atas laporan tersebut, dan apakah itu akan memenuhi syarat untuk mendapatkan hadiah. Kurangnya komunikasi dari Cupertino mendorong Rauch untuk go public di Medium, terlepas dari kenyataan bahwa Apple mengharuskan peneliti untuk tetap diam tentang penemuan mereka jika mereka menginginkan kredit dan/atau kompensasi untuk pekerjaan mereka.

Rauch menyatakan kesediaannya untuk bekerja dengan Apple tetapi meminta perusahaan untuk “memberikan beberapa rincian kapan Anda berencana untuk memperbaiki ini, dan apakah akan ada pengakuan atau pembayaran hadiah bug.” Dia juga memperingatkan perusahaan bahwa dia berencana untuk menerbitkan dalam 90 hari. Rauch mengatakan bahwa tanggapan Apple adalah “pada dasarnya, kami akan menghargai jika Anda tidak membocorkannya.”

Kami telah menghubungi Apple untuk memberikan komentar.

Cerita ini awalnya muncul di Ars Technica.


Lebih Banyak Cerita WIRED yang Hebat

Diposting oleh : SGP Prize