آسیب پذیری Airtag، ردیاب اپل را به تروجان تبدیل می کند

اوایل سال جاری میلادی، اپل محصول جدیدی به نام AirTag را روانه بازار کرد که علیرغم کارایی خوب آن در ردیابی اجسام مفقود شده (همانند دسته کلید، ابزار و یا هر چیز دیگری که می‌توان این محصول را به آن متصل نمود)، در صورتی که در حالت گم شده تنظیم شده باشد، به راحتی و با اسکن توسط گوشی تلفن همراه به شخص مهاجم این امکان را می‌دهد که شماره تلفن مالک دستگاه را به راحتی به دست آورد و حتی می‌تواند کارایی خوب این دستگاه را به ابزاری برای فیشینگ اطلاعات مالی کاربران و یا هر نوع سایت بدافزاری دیگری تبدیل کند.

“حالت گمشده” اپل به کاربر این امکان را می‌دهد که در صورت مفقودی، AirTag خود را به عنوان گمشده علامت گذاری کند. پس از آن یک صفحه منحصر به فرد https://found.apple.com ایجاد می‌شود که شامل شماره سریال Airtag و شماره تلفن و پیام شخصی صاحب Airtag است. اگر هر کاربر آیفون یا اندروید این AirTag گم شده را پیدا کند، می‌تواند آن را (از طریق NFC) اسکن کند که صفحه منحصر به فرد https://found.apple.com ،Airtag را در تلفن همراه فرد باز می‌کند.

مهاجم در صفحه https://found.apple.com می‌تواند حمله Stored XSS انجام داده و پی لود مخربی را به قسمت شماره تلفن Airtag “حالت گمشده” تزریق کند. در این حالت قربانی گمان می‌کند که از او خواسته شده وارد iCloud شود تا بتواند با یابنده Airtag تماس بگیرد، در حالی که در واقع، مهاجم او را به صفحه‌ای برای ربودن اطلاعات شخصی هدایت کرده است. این آسیب‌پذیری می‌تواند دستگاه AirTag را به سادگی به یک حامل تروجان و یا بدافزار‌های دیگر تبدیل کند. به این شکل که مهاجمین می‌توانند Airtagهای آلوده ایجاد کنند و آنها را به عمد در مکان‌های مختلف رها کرده و با این کار افراد بیگناهی را قربانی کنند که تنها قصد کمک به پیدا کردن صاحب Airtag گمشده دارند. 

از آنجایی که Airtags به تازگی منتشر شده است، اکثر کاربران نمی‌دانند که دسترسی به صفحه https://found.apple.com نیازی به احراز هویت ندارد. بنابراین، لینک https://found.apple.com می‌تواند به عنوان لینک فیشینگ مورد استفاده قرار گیرد و از طریق دسکتاپ/لپ تاپ بدون نیاز به دستگاه تلفن همراه برای اسکن Airtag به اشتراک گذاشته شود.