Mel
Wer seinen AirTag bzw. den damit verbundenen Gegenstand verloren hat, kann den Bluetooth-Tracker in den „Verloren“-Modus versetzen. Auf diese Weise kann die weltweite Apple-Gemeinschaft dazu beitragen, den AirTag zu finden. Gleichzeitig wird es einem Finder erlaubt, den AirTag zu scannen und die hinterlegten Daten des Besitzers bzw. der Besitzerin zu nutzen, um Kontakt herzustellen.
Genau diese Option bietet aber auch die Möglichkeit, zu einem Phishing-Opfer zu werden. So legt ein Bericht von KrebsOnSecurity nahe, dass der AirTag-Scan mit einem beliebigen Smartphone „missbraucht werden kann, um den barmherzigen Samariter auf eine iCloud-Phishing-Seite – oder eine andere bösartige Website – umzuleiten.“
Denn beim Versetzen eines AirTags in den „Verloren“-Modus wird eine eigene URL bei https://found.apple.com generiert, die es dem Besitzer bzw. der Besitzerin erlaubt, eine persönliche Nachricht sowie die Kontakt-Mobilfunknummer zu hinterlassen. Jede Person, die dann den AirTag mit einem Smartphone scannt, wird zu dieser URL weitergeleitet und kann die Nachricht sehen. Dies kann auch ohne einen Login oder die Herausgabe persönlicher Daten geschehen.
„Das ist wichtig, weil Apples ‚Verloren‘-Modus derzeit nicht verhindert, dass Benutzer beliebigen Computercode in das Telefonnummernfeld einfügen – beispielsweise einen Code, der das Gerät des Finders dazu bringt, eine gefälschte Apple iCloud-Anmeldeseite zu besuchen.“
Über diese Schwachstelle wurde KrebsOnSecurity vom Sicherheitsforscher Bobby Rauch aus Boston informiert. Die AirTag-Schwachstelle mache die Geräte zu billigen und möglicherweise sehr effektiven physischen Trojanern. „Ich kann mich an keinen anderen Fall erinnern, in dem diese kleinen, kostengünstigen Ortungsgeräte für Verbraucher als Waffe eingesetzt werden könnten“, so Rauch gegenüber KrebsOnSecurity.
Apple zeigte sich laut des Berichts zunächst offenbar wenig interessiert an dieser potentiellen Schwachstelle. Laut KrebsOnSecurity habe Rauch Apple von diesem AirTag-Problem in Kenntnis gesetzt und wolle selbiges binnen 90 Tagen nach Kontaktaufnahme publik machen. „Ihre Antwort lautete im Grunde genommen, ‚Wir würden es begrüßen, wenn Sie dies nicht veröffentlichen.‘“ Der Mangel an Kommunikation mit Apple habe ihn schließlich dazu veranlasst, seine Erkenntnisse publik zu machen. Mittlerweile hat Apple in einer E-Mail gegenüber Bobby Rauch angekündigt, diesen Bug mit einem zukünftigen Update beheben zu wollen.
In einem QR-Code kann ich auch x-beliebige URLs hinterlegen. Wer seine Zugangsdaten auf einer Webseite eingibt, die nicht selbst eingetippt wurde und auch nicht prüft, ob die URL in der Adresszeile korrekt ist, dem ist in der heutigen Zeit sowieso nicht mehr zu helfen.
Wobei man sich natürlich schon fragen kann, warum es bei einem AirTag erforderlich sein muss eine x-beliebige URL zu hinterlegen.
Ich bin nicht ganz sicher wie der Artikel über die Schwachstelle zu lesen ist. Es könnte auch sein, dass Apple die Eingabe in das Telefonnummernfeld überhaupt nicht überprüft und es somit möglich ist, jeden beliebigen JavaScript Code dort einzugeben und dieser wird dann beim Aufruf des AirTags ausgeführt. Also statt dass man die Kontaktdaten des Airtags Benutzers wie die Telefonnummer sieht gebe ich dort ein location.href=’https://aple.af‘ ein und wenn man eigentlich die Apple Seite mit den Kontaktdaten sehen sollte wird man direkt auf eine beliebige Fake Webseite weitergeleitet. Sollte dass der Fall sein, ist mir Apples Verhalten vollkommen unverständlich. Ein solches ‚escaping‘ sollte jeder Entwickler heutzutage aus dem eff eff kennen