Tehnografi.com - Технологические новости, обзоры и советы

Как одна ошибка кодирования превратила AirTags в идеальных распространителей вредоносных программ

Один из самых пугающих фактов о мобильных ИТ в 2021 году заключается в том, что простота и удобство слишком заманчивы для небольших устройств (вспомните AppleWatch, AirTags, даже кольца, отслеживающие состояние здоровья, умные наушники и т. д.).

По сравнению с их предками, ноутбуками и настольными компьютерами, они значительно усложняют проверку правильности URL-адресов, того, что СПАМ/вредоносные тексты/электронные письма не открываются, и что сотрудники соблюдают минимальные меры предосторожности в области кибербезопасности, которые требует ИТ-отдел. Короче говоря, с ростом удобства растут и риски безопасности. (Признание: несмотря на то, что я стараюсь быть чрезвычайно бдительным с электронной почтой на рабочем столе, я периодически — гораздо чаще, чем следовало бы — теряю бдительность, когда сообщение приходит через мои AppleWatch.)

Еще одна реальность кибербезопасности, которая всегда была и будет всегда, заключается в том, что небольшие ошибки в программировании легко допустить, и их часто упускают из виду. И все же эти небольшие ошибки могут привести к гигантским дырам в безопасности. Это подводит нас к Apple и Airtags.

Исследователь безопасности пришел на помощь CISO и обнаружил, что открытая область для ввода телефонного номера непреднамеренно превратила AirTags в Божий дар преступникам, занимающимся вредоносным ПО.

Давайте обратимся к Ars Technica за подробностями о катастрофе.

«Консультант по безопасности и специалист по тестированию на проникновение Бобби Раух обнаружил, что Apple AirTags — крошечные устройства, которые можно прикрепить к часто теряемым предметам, таким как ноутбуки, телефоны или ключи от машины, — не дезинфицируют пользовательский ввод. Эта оплошность открывает двери для использования AirTags в дроп-атаке. Вместо того, чтобы заполнять стоянку цели USB-накопителями с вредоносным ПО, злоумышленник может сбросить подготовленный со злым умыслом AirTag», — сообщается в публикации.

«Для этого вида атаки не требуется много технологических ноу-хау — злоумышленник просто вводит действительный XSS в поле номера телефона AirTag, затем переводит AirTag в режим «Потерян» и бросает его туда, где цель, скорее всего, найдет его. Теоретически сканирование утерянного AirTag является безопасным действием — предполагается, что откроется только веб-страница по адресу https://found.apple.com/. Проблема в том, что found.apple.com затем встраивает содержимое поля номера телефона в веб-сайт так, как оно отображается в браузере жертвы, в несанированном виде».

Хуже всего в этой дыре то, что ущерб, который она может нанести, ограничен только изобретательностью злоумышленника. Возможность ввести практически любой URL-адрес в это окно в сочетании с тем фактом, что жертвы вряд ли будут утруждать себя осмысленным расследованием того, что происходит, плохие варианты практически безграничны.

Еще от Ars Technica: «Если найдено, невинно встраивает XSS выше в ответ для отсканированного AirTag, жертва получает всплывающее окно, которое отображает содержимое файла . Это может быть эксплойт нулевого дня для браузера или просто фишинговый диалог. Раух выдвигает гипотезу о фальшивом диалоговом окне входа в iCloud, которое можно сделать похожим на настоящее, но которое вместо этого сбрасывает учетные данные Apple жертвы на целевой сервер», — говорится в статье. «Хотя это убедительный эксплойт, он ни в коем случае не единственный доступный — почти все, что вы можете сделать с веб-страницей, находится на столе и доступно. Это варьируется от простого фишинга, как показано в приведенном выше примере, до подвергания телефона жертвы уязвимости браузера нулевого дня без щелчка».

Раух опубликовал гораздо больше подробностей на Medium.

Вот почему удобство таких устройств, как AirTags, опасно. Из-за их небольшого размера и однофункциональной способности они кажутся безобидными, что на самом деле не так. Любое устройство, которое может общаться с кем угодно или чем угодно по прихоти устройства (и, да, я смотрю на дверные замки IoT и IIoT, лампочки, датчики температуры и тому подобное) представляет собой серьезную угрозу. Это угроза для потребителей, но гораздо более опасная угроза для корпоративных ИТ и операций безопасности.

Это потому, что когда сотрудники и подрядчики (не говоря уже о дистрибьюторах, поставщиках, партнерах и даже крупных клиентах с учетными данными в сети) взаимодействуют с этими небольшими устройствами, они, как правило, забывают все инструкции по обучению кибербезопасности. Конечные пользователи, которые бдительно относятся к электронной почте на своих настольных компьютерах (что, к сожалению, не все), по-прежнему бросят мяч на ультра-удобных небольших устройствах, как и я. Мы не должны, но мы делаем.

И это «мы не должны» заслуживает большего контекста. Некоторые из этих устройств, в том числе AirTags и смарт-часы, делают бдительность кибербезопасности со стороны конечных пользователей практически невозможной. Этот кошмар с AirTag — еще одно напоминание об этом факте.

KrebsOnSecurity углубился в некоторые из наиболее пугающих элементов этой проблемы с AirTags.

«Режим пропажи AirTag позволяет пользователям предупреждать Apple об отсутствии AirTag. Установка режима пропажи создает уникальный URL-адрес по адресу https://found.apple.com и позволяет пользователю ввести личное сообщение и контактный номер телефона. Любой, кто найдет AirTag и просканирует его с помощью телефона Apple или Android, сразу же увидит этот уникальный URL-адрес Apple с сообщением владельца», — отметил KrebsOnSecurity. «При сканировании AirTag в режиме пропажи отобразит короткое сообщение с просьбой позвонить владельцу по указанному номеру телефона. Эта информация всплывает без просьбы искателя войти в систему или предоставить какую-либо личную информацию. Но обычный добрый самаритянин может этого не знать».

Это прекрасное объяснение опасности, но более интригующая часть заключается в том, насколько безразлично Apple относится к этой дыре — образец, который я неоднократно наблюдал в Apple. Компания говорит, что заботится, но ее бездействие говорит об обратном.

«Раух связался с Apple по поводу ошибки 20 июня, но в течение трех месяцев, когда он спрашивал об этом, компания только говорила, что все еще занимается расследованием. В прошлый четверг компания отправила Рауху дополнительное электронное письмо, в котором говорилось, что они планируют устранить уязвимость в предстоящем обновлении, а пока он не возражает против того, чтобы говорить об этом публично?» Об этом сообщает KrebsOnSecurity. «Раух сказал, что Apple никогда не отвечала на основные вопросы, которые он задавал об ошибке, например, есть ли у них график ее исправления, и если да, то планируют ли они указать его в сопровождающих рекомендациях по безопасности. Или будет ли его работа претендовать на участие в программе Apple Bug Bounty, которая обещает финансовое вознаграждение в размере до 1 миллиона долларов для исследователей безопасности, сообщающих об ошибках безопасности в продуктах Apple. Раух сказал, что он сообщал о многих уязвимостях программного обеспечения другим поставщикам на протяжении многих лет, и что отсутствие связи с Apple побудило его обнародовать свои выводы — хотя Apple говорит, что хранить молчание об ошибке до тех пор, пока она не будет исправлена, — это то, как исследователи получают признание в области безопасности. рекомендации».

Во-первых, Раух здесь абсолютно прав. Когда какой-либо поставщик спрашивает о проблемах с безопасностью, он вредит своим пользователям и отрасли, сидя на этом месяцы или дольше. И, не предупредив исследователя быстро о том, получат ли они деньги или нет, они не оставляют исследователю иного выбора, кроме как предупредить общественность.

По крайней мере, поставщик должен четко указать, когда будет выпущено исправление. Вот кикер: если Apple не сможет добраться до него какое-то время, существует обязательство сообщить о дыре потенциальным жертвам, чтобы они вели себя так, чтобы избежать дыры. Заделать дыру, очевидно, гораздо лучше, но если Apple не сделает этого быстро, это создаст неприемлемую ситуацию.

Это извечная проблема раскрытия ошибок, проблема, которую должны были решить эти программы вознаграждений. Предварительное раскрытие информации об исправлении рискует указать на дыру киберворам, которые могут поспешить ею воспользоваться. Тем не менее, не похоже, что некоторые злоумышленники еще не знают о дыре. В этом случае бездействие Apple не делает ничего, кроме того, что жертвы становятся уязвимыми для атак.

Поведение Apple возмущает. Имея программу вознаграждений, которая связывает обещания оплаты с просьбами о молчании, компания обязана серьезно относиться к обоим элементам. Если у компании есть такая программа, а затем слишком много времени уходит на устранение этих дыр, это подрывает всю программу, а также потребителей и предприятия.

© 2021 IDG Communications, Inc.