4er-Pack erneut für 99 Euro
AirTag-Schwachstelle greift ehrliche Finder an: Apple will nachbessern
Apples Sachen-Finder, die im Apple Store zum offiziellen Stückpreis von 35 Euro und bei Amazon ab 25 Euro erhältlichen AirTags, sind in der Lage unbedarfte Finder auf schadhafte Webseiten umzuleiten.
Darauf macht der Security-Experte Bobby Rauch mit einem ausführlichen Bericht über aktive Schwachstellen in der Webansicht der Tracking-Taler aufmerksam.
Gefundene AirTags werden per NFC eingescannt
Seit Monaten könnten Besitzer der AirTags die für eine einfache Kontaktaufnahme vorgesehenen Rufnummern-Felder auch mit Code-Schnipseln bestücken, die einen Finder entsprechend vorbereiteter AirTags beim Scannen des Sachen-Trackers nicht auf Apples virtuelles Fundbüro-Portal „found.apple.com“, sondern auf eine beliebige Webseite weiterleiten würden.
Mögliche Angriffs-Szenarien lassen sich schnell konstruieren. Angreifer könnten den Finder etwa mit einer falschen Apple-homepage begrüßen und hier die iCloud-Zugangsdaten des gutmütigen Finders abfangen, der lediglich Kontakt mit dem Besitzer aufnehmen und Apples vermeidlicher Portal-Seite dafür blind vertraut.
Seit drei Monaten bekannt
Apple selbst wurde vor über drei Monaten auf die Schwachstelle hingewiesen, hat sich dem Sicherheitsforscher Bobby Rauch gegenüber, der Cupertino als erstes auf den Angriffsvektor aufmerksam gemacht hat, jedoch sehr schmallippig verhalten.
Apples Sicherheits-Team habe weder Fragen zum Bug beantwortet, noch bestätigt, ob das Aufspüren der Sicherheitslücke im Rahmen des sogenannten „Apple Security Bounty„-Programms vergütet werden wird.
Nur am vergangenen Donnerstag habe sich Apple einmal gemeldet und Rauch gebeten nicht öffentlich über die Schwachstelle zu sprechen, die mit einem kommenden Software-Update behoben werden soll. Rauch hat die Schwachstelle daraufhin öffentlich gemacht und in dem Blogeintrag „Hijacking iCloud Credentials with Apple Airtags (Stored XSS)“ detailliert beschrieben.
4er-Pack erneut für 99 Euro
Aktuell lässt sich das 4er-Pack der Apple AirTags wieder zum Aktionspreis von 99 Euro bestellen. Dies drückt den rechnerischen Preis für einen Sachenfinder auf knapp 25 Euro, dies sind 10 Euro günstiger als der Apple Store-Stückpreis von 35 Euro für den Apple selbst die AirTags anbietet.
found.apple.com ist ne weiße Seite wenn ich’s öffne … hmm
Schon in die Falle getippt wa?
Nein, ich wollte nur anmerken, dass der Link / die Adresse zu nix führt. :)
Und ich meinte, mit anklicken des links oben biste schon in die Falle getippt.
Antippen ging nicht. Musste kopieren. ;D
Dito
Wie soll der Fehler jetzt glaubhaft beseitigt werden?
Kann Apple sicherstellen, dass alle AirTags mit entsprechendem Update versehen werden?
Woher weiß ich sonst als ehrlicher Finder, ob ich einen ‚ehrlichen‘ AirTag vor mir habe oder einen – nicht aktualisierten – Honeypot?
Wenn das nicht sicher gestellt werden kann, würden viele Finder vermutlich das Ding ignorieren.
Das würde eine erhebliche Nutzeneinschränkung bedeuten.
Indem Apple nur die Rufnummer die mit deiner Apple ID verknüpft ist in das Tippfeld eintragen lässt und / oder optional deine E-Mail Adresse zur Kontaktaufnahme. Sonst nix
Ja, schon klar – Aber das bezieht sich ja auf die Firmware der AirTags… XD
Nimm den AirTag einfach mit, der Besitzer wird nun jederzeit sehen wo sein AirTag ist, und dich ggf aufspüren
oder gleich mit Einsatzwagen vorbeikommen ;)
Indem du einfach schaust, welche URL aufgerufen werden soll. That’s it. Fixed.
Genau…
Das XSS-Problem besteht in erster Linie nicht auf dem AirTag, sondern auf der found.apple.com Seite. Wenn sie das dort fixen, ist das Problem automatisch für alle AirTags behoben. Dafür braucht es kein Firmware Update. Das hätte zur Folge, dass eine Weiterleitung auf eine bösartige Website nicht mehr möglich ist und stattdessen „nur“ das Script, statt der Telefonnummer sichtbar wäre.
In zweiter Linie muss unterbunden werden, dass Scripts statt einer Telefonnummer auf den Tag gespeichert werden können. Dafür wird dann ggf. ein Firmware-/iOS Update sein.
wenn ich als Hacker 25 Euro pro Linkweiterleitung in den Airtag investieren muß…da kannst nur hoffen, dass das Geschäftsmodell funktioniert ;-)
Naja lass das Ding in der richtigen Gegend „finden“ und es lohnen sich die 25€
Ich vermute dass gültige Apple-ID Zugangsdaten weit mehr als 25 € wert sind.
was bring dir die Zugangsdaten ? wenn du dich nirgends damit einloggen kannst. ?
Sorry aber alles richtig gemacht: Apple will den Bugfinder nicht vergüten und bittet lediglich es nicht öffentlich zu machen? Na dann erst Recht, sonst entsteht ja kein Handlungsdruck
Wird ja immer besser bei Apple. Glaube zu viel Home Office tut dem Konzern und uns Kunden nicht so gut. Kommen immer mehr Sicherheitslücken ans Licht.
Wow, das „Problem“ ist bei jeden NFC Gerät dass einen auf eine Webseite weiterleiten will und nicht nur bei AirTags. Auch bei diversen anderen Geräten ist das so, wo ich als Kontaktaufnahme auch eine eigene Webseite angeben kann.
Dasselbe mit QR-Codes.
Stimmt da ist es auch, eigentlich sogar bei einen Link der verschickt werden kann.
Aber da dies ja dann kein Ape Spezifisches Problem mehr ist, ist es keinen Artikel Wert ;-)
Es ist am Ende hier deshalb ein Problem weil das nicht passieren sollte. Die Dinger sind ja eigentlich extra Apple typisch „idiotensicher“ gemacht.
Sie sind auch Idioten sicher aber sie sind halt auch nicht eingeschränkt (wie diverse andere Tags auch nicht) und somit kann der User eben auch einen Webseite hinterlegen auf die verlinkt wird.
Wie immer bleibt die Tatsache unerwähnt das weiterhin der Schalter zum deaktivieren fehlt..
das ich an diesem Dienst weder Nutzen möchte und vor allen auch nicht meine Gerät(e) dafür zu Verfügung stellen möchte.
Noch problematischer wird demnächst auch iPhone ausgeschaltet ortbar sein soll.
Da gibt es nur die gute alte back to the klapphandy lösung
@connectas, wieso „demnächst“? Das wurde mir gerade bei einem Hard-Reset genau so bereits angezeigt (iPhone 13 pro, „lauter-leiser-standby“). Ausgeschaltet ortbar.
Wäre es deaktivierbar, könnte Apple gleich die AirTags wieder einstampfen. Denn vermutlich würden 99% der deutschen dann das Abschalten, da sie glauben es verbraucht mehr Akku und von 98% von diesen deutschen würden es dazu auch noch abschalten wegen „Datenschutz“ da sie nicht checken dass die Funktion dafür da ist um die anderen Geräte in der Nähe zu orten aber nicht sie.
Zeitgleich würden diese Kandidaten aber weiterhin mit so Sinnlos Stromfressenden Browser wie Chrome ihre Google anfragen abschicken, was es bei Amazon so zum kaufen gibt und wundern sich dann warum Ihnen in Facebook Produkte angezeigt werden die sie sich auf Amazon angeschaut haben.
Das Eine hat mit dem Anderen nichts zu tun.
Du mischst Datenschutz und Umweltschutz und Kaufverhalten.
Ersteres spart übrigens auch Strom und schützt die Umwelt, wenns nicht betrieben wird. Sei es am Handy oder die Ortung und Datenspeicherung.
Zweiteres ergibt sich durch den richtigen Einsatz der beiden anderen und vielen weiteren Handlungen oder Unterlassungen.
Letzteres ist eine persönliche Sache und geht unter Privatsphäre, die es zu 100% zu schützen gilt. Falls nicht, belastet es die Umwelt, weil Daten gespeichert werden.
Und Ja, selbst wenn Apple die AirTags wieder einstampfen muss, weil ihr „System“ nicht funktioniert – jeder sollte selber wählen dürfen, was er aktiviert oder deaktiviert haben möchte.
Allenfalls hilft wirklich die gute, alte, von vielen verpönte Alufolie. Ums Handy, nicht auf dem Kopf ;) Oder eine Blechdose :D
Kleiner typo im Text; „Apples vermeidlicher Portal-Seite“.
Gemeint ist doch wohl „Apples vermeintlicher Portal-Seite“ ;-)
Beides könnte stimmen :D