AirTags: „Verloren“-Modus kann für Phishing-Attacken ausgenutzt werden – Apple kündigt Update an

| 14:33 Uhr | 0 Kommentare

Sollte ein AirTag (hier unser AirTag-Test) einmal verloren gehen, kann der Finder ihn mit einem Smartphone scannen, um die Kontaktdaten des Besitzers zu ermitteln. Diese praktische Funktion kann laut einem neuen Bericht von KrebsOnSecurity für Phishing-Betrügereien missbraucht werden.

Schwachstelle kann Benutzer auf bösartige Webseiten umleiten

Wenn ein AirTag in den Verloren-Modus versetzt wird, generiert er eine URL (https://found.apple.com) und lässt den AirTag-Besitzer eine Telefonnummer oder E-Mail-Adresse eingeben. Jeder, der den AirTag scannt, wird dann automatisch zu der URL mit den Kontaktinformationen des Besitzers weitergeleitet, ohne dass eine Anmeldung oder persönliche Informationen erforderlich sind, um die bereitgestellten Kontaktinformationen anzuzeigen.

Laut KrebsOnSecurity verhindert der Verloren-Modus nicht, dass Benutzer beliebigen Computercode in das Telefonnummernfeld einfügen können, so dass eine Person, die einen AirTag scannt, auf eine gefälschte iCloud-Anmeldeseite oder eine andere bösartige Webseite umgeleitet werden kann. Jemand, der nicht weiß, dass keine persönlichen Daten erforderlich sind, um die Informationen eines AirTags einzusehen, könnte dann dazu verleitet werden, seine iCloud-Anmeldedaten oder andere persönliche Daten anzugeben. Zudem könnte die Umleitung zu Schadsoftware führen.

Die AirTag-Schwachstelle wurde von dem Sicherheitsberater Bobby Rauch entdeckt, der gegenüber KrebsOnSecurity erklärte, dass er Apple im Juni kontaktierte, worauf das Unternehmen den Fall untersuchte. Vor kurzem teilte Apple Rauch mit, dass man die Schwachstelle in einem kommenden Update beheben werde.

Ganz glücklich ist der Sicherheitsforscher nicht mit dem Ablauf. So habe es zu lange gedauert, bis Apple auf seinen Bericht reagiert hat, erklärt er. Zudem steht offen, ob seine Meldung ihn für Apples Bug-Bounty-Programm qualifiziert und Rauch somit eine Belohnung für die Entdeckung der Schwachstelle erhält. Fest steht, dass Apple die Möglichkeit der Umleitung bald beheben wird und die AirTags somit nicht mehr für Phishing-Angriffe genutzt werden können.

Kategorie: Apple

Tags:

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.