Lỗ hổng trong Apple AirTag cho phép tin tặc phát tán phần mềm độc hại

t04ndv

Moderator
02/02/2021
18
85 bài viết
Lỗ hổng trong Apple AirTag cho phép tin tặc phát tán phần mềm độc hại
Nhà nghiên cứu an ninh Bobby Rauch phát hiện AirTags của Apple bị ảnh hưởng bởi một lỗ hổng tập lệnh trên nhiều trang web (XSS).

airtag-e1632947561894.jpg

Cụ thể, người dùng AirTags kích hoạt "chế độ mất" khi không thể định vị thiết bị, họ có thể thêm số điện thoại hoặc thông báo đến những ai tìm thấy và quét được thiết bị Airtage bằng điện thoại NFC, bao gồm cả điện thoại Android.

Dẫn đến, trang được tạo trên tên miền found.apple.com cho mỗi AirTag sẽ bị ảnh hưởng bởi lỗ hổng XSS. Nói cách khác, lỗ hổng XSS có thể bị khai thác bằng cách chèn một payload độc hại vào trường số điện thoại trên trang. Sau đó, kẻ tấn công cần phải thả thiết bị AirTag ở vị trí của người dùng mục tiêu - hoặc bất kỳ ai, sẽ lấy và quét. Sau khi quét, payload độc hại sẽ được kích hoạt ngay lập tức.

Kẻ tấn công có thể dụ người dùng đến các trang web phát tán mã độc hoặc có thể chèn một payload để lấy được hoặc tấn công mã thông báo phiên. Nhà nghiên cứu cũng lưu ý kẻ tấn công có thể lợi dụng liên kết found.apple.com độc hại bằng cách gửi trực tiếp đến người dùng mục tiêu trên máy tính bàn hoặc xách tay - trong trường hợp này, payload được kích hoạt khi liên kết được truy cập và không cần quét AirTag.

Rauch đã báo cáo phát hiện của mình cho Apple vào ngày 20/6 và quyết định công khai lỗ hổng.

Trước đó, AirTags cũng gặp lỗi ở tính năng Find My khiến người dùng bị truy cập trái phép lịch sử vị trí trong 7 ngày, chi tiết tại đây.

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Phương thức này ban đầu XSS nhưng cũng có hơi hướng của Phising đúng ko bác nhỉ ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
airtags apple
Bên trên