AirTag紛失モードの脆弱性により、悪意あるサイトにリダイレクトされる可能性

 
他の人のAirTagを見つけた場合、iPhoneなどにAirTagをかざすと持ち主への連絡方法を確認できる機能が、フィッシング詐欺に悪用される可能性があることが、米セキュリティ情報サイトの「Krebs on Security」の報告で明らかとなりました。

悪意のあるサイトにリダイレクトされる可能性

AirTagを紛失モードに設定すると、「https://found.apple.com」のURLが生成され、AirTagの持ち主が連絡先電話番号またはメールアドレスを登録できるようになります。
 
AirTagを見つけた人が、iPhoneやNFC対応のスマートフォンの上部をAirTagの白い面にかざすと、持ち主の連絡先が記載されたURLに自動的に誘導されます。持ち主の連絡先情報を閲覧するために、ログインしたり個人情報を入力する必要はありません。
 
Krebs on Securityによると、紛失モードではユーザーが、任意のコンピュータコードを電話番号フィールドに挿入することを防ぐことができないため、AirTagをスキャンした人は、偽のiCloudログインページや悪意のあるWebサイトにリダイレクトされる可能性があるとのことです。
 
AirTagの持ち主の情報を閲覧するのに自身の個人情報が不必要であることを知らない人は、騙されてiCloudのログイン情報や、その他の個人情報を提供してしまったり、リダイレクトされた悪意のあるサイトからソフトウェアをダウンロードしてしまうことがあります。

セキュリティ・コンサルタントのボビー・ラウンチ氏が脆弱性を発見

AirTagの欠陥は、セキュリティ・コンサルタントのボビー・ラーチ氏が発見したもので、同氏はKrebs on Securityに対し、この脆弱性によってAirTagが危険なものになると述べています。「私は、このような低コストの消費者向け小型追跡装置が武器になるような事例を他に知りません」としています。
 
ラーチ氏は6月20日に、この脆弱性についてAppleに報告し、同社は調査に数カ月を費やしました。同社は先週、ラーチ氏に今後のアップデートでこの脆弱性に対処することを伝え、公の場で話さないよう求めたとのことです。
 
ラーチ氏は彼が報告したバグが、脆弱性の発見に対して報奨金を出す「セキュリティ・バウンティ・プログラム」の対象となるのかなどについての質問にAppleが回答しなかったため、脆弱性の詳細を公開したと明かしています。
 
先週、セキュリティ研究者のillusionofchaosことデニス・トカレフ氏は、複数のiOSに関するゼロデイ脆弱性を公開しました。Appleは同氏の報告を無視し、数カ月間脆弱性を修正しませんでした。Appleはこの件に対して謝罪しましたが、同社のセキュリティ・バウンティ・プログラムや報告への対応の遅さについては、引き続き批判の声が上がっています。
 
 
Source:Krebs on Security via MacRumors
(m7000)