マイキー・キャンベル
· 2分で読めます
最近発見された AirTag の脆弱性により、デバイスが紛失モードでスキャンされたときに攻撃者がユーザーを悪意のある Web ページにリダイレクトすることができ、トラッカーが実質的にトロイの木馬に変わる可能性があります。
紛失モードはAirTagの重要な機能の一つで、有効にすると、NFC対応デバイスを持つ人なら誰でもトラッカーをスキャンし、所有者の電話番号を含むプログラムされた発見メッセージを読み取ることができます。この機能は、紛失したAirTagを「探す」ネットワークで見つけられない場合に、車の鍵などの紛失物の返却を支援します。
研究者のボビー・ラウチ氏は、ロストモードを潜在的な攻撃ベクトルに変える脆弱性を発見しました。
Krebs on Securityが解説しているように、紛失モードは https://found.apple.com に固有のURLを生成し、所有者はデバイスが見つかった場合に個人的なメッセージと電話番号を入力できます。Rauch氏は、Appleのシステムでは電話番号欄への任意のコードの挿入を防止できないことを発見しました。つまり、デバイスをスキャンした無防備な善意の人物は、悪意のあるウェブサイトに誘導される可能性があるということです。
「これほど低価格で入手できる小型の消費者向け追跡装置が兵器として利用された例は他に思い浮かばない」とラウチ氏は語った。
本日公開されたMediumの記事で、Rauch氏はStored XSSエクスプロイトを利用して、キーロガーを使って機密情報を盗み出すフィッシングサイトへリダイレクトする悪意のあるペイロードを挿入できると説明しています。セッショントークンハイジャックやクリックジャッキングといった他のXSSエクスプロイトも実行可能であるとRauch氏は述べています。
研究者は6月20日にAppleにこの脆弱性について報告し、通常の情報開示手順に従い、90日以内に情報を公開する予定だと述べた。それ以降、同社が依然としてこの脆弱性を調査中であるという声明以外、ほとんど情報が得られていない。Appleは解決策の進捗状況に関する質問に回答せず、今後のセキュリティアドバイザリでラウチ氏の功績が認められるかどうかについても言及しなかったと、報道は伝えている。また、この脆弱性がAppleのバグ報奨金プログラムによる報奨金の対象となるかどうかについても、同社はコメントしていない。
先週木曜日、90日間の情報開示保護期間が終了してから5日後、Appleはラウチ氏に連絡を取り、この脆弱性は次回のアップデートで修正されると伝え、バグについて公に話さないよう求めた。
「『いつ修正する予定か、そして何らかの認定やバグ報奨金があるかどうかなど、詳細を教えていただければ協力します』と伝えました」とラウチ氏は語った。「彼らの返答は、基本的に『漏洩しないでいただけるとありがたい』というものでした」
報道によれば、ラウフ氏はアップルのコミュニケーション不足に抗議するために公の場に出たという。
セキュリティ研究者のデニス・トカレフ氏をはじめ、多くの研究者がAppleのバグ報告プログラムに対する不満を表明している。先週、トカレフ氏はバグ報奨金プログラムでの自身の経験を詳しく述べ、4つの欠陥を特定してAppleに報告したものの、修正されたのは1つだけだったと述べた。Appleはその後、遅延について謝罪し、現在も問題を調査中であると述べた。
AirTagは4月の発売以来、セキュリティ研究コミュニティの関心を集めてきました。デバイスの発売直後、研究者たちはAirTagを利用して「Find My」ネットワーク経由でショートメッセージを送信する方法を発見しました。
