2021/09/29

Bug nos AirTag permite redireccionar para sites maliciosos

Há mais um investigador descontente por ser ignorado ao tentar alertar a Apple para uma falha de segurança nos AirTag.

Os AirTag são os pequenos trackers de localização da Apple, que se podem colocar em qualquer lado - porta-chaves, mochilas, carteiras, etc. - e que em caso de serem perdidos podem tirar partido de toda a rede Find My da Apple, em que bastará que um iPhone, iPad, ou Mac, passem por perto para poderem ser descobertos. Neste caso o bug não está propriamente nos AirTag, mas sim no que pode ser feito com eles.

Os donos dos AirTag podem adicionar informação de contacto para quem os encontrar poder ligar-lhes. O problema que foi descoberto é que a Apple não faz validação daquilo que se pode introduzir no campo de contacto, permitindo explorar uma falha XSS no seu site found.apple.com que pode ser usada para redireccionar pessoas para sites de phishing que apresentarão o site da Apple na barra de endereços.

A correcção seria extremamente simples, mas infelizmente este foi mais um caso em que a Apple ignorou o investigador ao ponto deste se sentir obrigado a revelar o problema publicamente, para tentar que a pressão da exposição pública forçasse a Apple a reconhecer a falha e a corrigia-la.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]