iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 849 Artikel

4er-Pack erneut für 99 Euro

AirTag-Schwachstelle greift ehrliche Finder an: Apple will nachbessern

Artikel auf Mastodon teilen.
32 Kommentare 32

Apples Sachen-Finder, die im Apple Store zum offiziellen Stückpreis von 35 Euro und bei Amazon ab 25 Euro erhältlichen AirTags, sind in der Lage unbedarfte Finder auf schadhafte Webseiten umzuleiten.

Darauf macht der Security-Experte Bobby Rauch mit einem ausführlichen Bericht über aktive Schwachstellen in der Webansicht der Tracking-Taler aufmerksam.

Found

Gefundene AirTags werden per NFC eingescannt

Seit Monaten könnten Besitzer der AirTags die für eine einfache Kontaktaufnahme vorgesehenen Rufnummern-Felder auch mit Code-Schnipseln bestücken, die einen Finder entsprechend vorbereiteter AirTags beim Scannen des Sachen-Trackers nicht auf Apples virtuelles Fundbüro-Portal „found.apple.com“, sondern auf eine beliebige Webseite weiterleiten würden.

Mögliche Angriffs-Szenarien lassen sich schnell konstruieren. Angreifer könnten den Finder etwa mit einer falschen Apple-homepage begrüßen und hier die iCloud-Zugangsdaten des gutmütigen Finders abfangen, der lediglich Kontakt mit dem Besitzer aufnehmen und Apples vermeidlicher Portal-Seite dafür blind vertraut.

Regenschirm Airtags

Seit drei Monaten bekannt

Apple selbst wurde vor über drei Monaten auf die Schwachstelle hingewiesen, hat sich dem Sicherheitsforscher Bobby Rauch gegenüber, der Cupertino als erstes auf den Angriffsvektor aufmerksam gemacht hat, jedoch sehr schmallippig verhalten.

Apples Sicherheits-Team habe weder Fragen zum Bug beantwortet, noch bestätigt, ob das Aufspüren der Sicherheitslücke im Rahmen des sogenannten „Apple Security Bounty„-Programms vergütet werden wird.

Nur am vergangenen Donnerstag habe sich Apple einmal gemeldet und Rauch gebeten nicht öffentlich über die Schwachstelle zu sprechen, die mit einem kommenden Software-Update behoben werden soll. Rauch hat die Schwachstelle daraufhin öffentlich gemacht und in dem Blogeintrag „Hijacking iCloud Credentials with Apple Airtags (Stored XSS)“ detailliert beschrieben.

4er-Pack erneut für 99 Euro

Aktuell lässt sich das 4er-Pack der Apple AirTags wieder zum Aktionspreis von 99 Euro bestellen. Dies drückt den rechnerischen Preis für einen Sachenfinder auf knapp 25 Euro, dies sind 10 Euro günstiger als der Apple Store-Stückpreis von 35 Euro für den Apple selbst die AirTags anbietet.

Produkthinweis
Apple AirTag 4er Pack - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr.... 99 EUR 129,00 EUR

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
29. Sep 2021 um 11:29 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    32 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • found.apple.com ist ne weiße Seite wenn ich’s öffne … hmm

  • Wie soll der Fehler jetzt glaubhaft beseitigt werden?

    Kann Apple sicherstellen, dass alle AirTags mit entsprechendem Update versehen werden?

    Woher weiß ich sonst als ehrlicher Finder, ob ich einen ‚ehrlichen‘ AirTag vor mir habe oder einen – nicht aktualisierten – Honeypot?

    Wenn das nicht sicher gestellt werden kann, würden viele Finder vermutlich das Ding ignorieren.

    Das würde eine erhebliche Nutzeneinschränkung bedeuten.

    • Indem Apple nur die Rufnummer die mit deiner Apple ID verknüpft ist in das Tippfeld eintragen lässt und / oder optional deine E-Mail Adresse zur Kontaktaufnahme. Sonst nix

    • Nimm den AirTag einfach mit, der Besitzer wird nun jederzeit sehen wo sein AirTag ist, und dich ggf aufspüren

    • Indem du einfach schaust, welche URL aufgerufen werden soll. That’s it. Fixed.

    • Das XSS-Problem besteht in erster Linie nicht auf dem AirTag, sondern auf der found.apple.com Seite. Wenn sie das dort fixen, ist das Problem automatisch für alle AirTags behoben. Dafür braucht es kein Firmware Update. Das hätte zur Folge, dass eine Weiterleitung auf eine bösartige Website nicht mehr möglich ist und stattdessen „nur“ das Script, statt der Telefonnummer sichtbar wäre.

      In zweiter Linie muss unterbunden werden, dass Scripts statt einer Telefonnummer auf den Tag gespeichert werden können. Dafür wird dann ggf. ein Firmware-/iOS Update sein.

  • wenn ich als Hacker 25 Euro pro Linkweiterleitung in den Airtag investieren muß…da kannst nur hoffen, dass das Geschäftsmodell funktioniert ;-)

  • Ich vermute dass gültige Apple-ID Zugangsdaten weit mehr als 25 € wert sind.

  • Sorry aber alles richtig gemacht: Apple will den Bugfinder nicht vergüten und bittet lediglich es nicht öffentlich zu machen? Na dann erst Recht, sonst entsteht ja kein Handlungsdruck

  • Wird ja immer besser bei Apple. Glaube zu viel Home Office tut dem Konzern und uns Kunden nicht so gut. Kommen immer mehr Sicherheitslücken ans Licht.

  • Wow, das „Problem“ ist bei jeden NFC Gerät dass einen auf eine Webseite weiterleiten will und nicht nur bei AirTags. Auch bei diversen anderen Geräten ist das so, wo ich als Kontaktaufnahme auch eine eigene Webseite angeben kann.

  • Wie immer bleibt die Tatsache unerwähnt das weiterhin der Schalter zum deaktivieren fehlt..

    das ich an diesem Dienst weder Nutzen möchte und vor allen auch nicht meine Gerät(e) dafür zu Verfügung stellen möchte.
    Noch problematischer wird demnächst auch iPhone ausgeschaltet ortbar sein soll.

    • marius müller westerwelle

      Da gibt es nur die gute alte back to the klapphandy lösung

    • @connectas, wieso „demnächst“? Das wurde mir gerade bei einem Hard-Reset genau so bereits angezeigt (iPhone 13 pro, „lauter-leiser-standby“). Ausgeschaltet ortbar.

    • Wäre es deaktivierbar, könnte Apple gleich die AirTags wieder einstampfen. Denn vermutlich würden 99% der deutschen dann das Abschalten, da sie glauben es verbraucht mehr Akku und von 98% von diesen deutschen würden es dazu auch noch abschalten wegen „Datenschutz“ da sie nicht checken dass die Funktion dafür da ist um die anderen Geräte in der Nähe zu orten aber nicht sie.

      Zeitgleich würden diese Kandidaten aber weiterhin mit so Sinnlos Stromfressenden Browser wie Chrome ihre Google anfragen abschicken, was es bei Amazon so zum kaufen gibt und wundern sich dann warum Ihnen in Facebook Produkte angezeigt werden die sie sich auf Amazon angeschaut haben.

      • Das Eine hat mit dem Anderen nichts zu tun.
        Du mischst Datenschutz und Umweltschutz und Kaufverhalten.

        Ersteres spart übrigens auch Strom und schützt die Umwelt, wenns nicht betrieben wird. Sei es am Handy oder die Ortung und Datenspeicherung.

        Zweiteres ergibt sich durch den richtigen Einsatz der beiden anderen und vielen weiteren Handlungen oder Unterlassungen.

        Letzteres ist eine persönliche Sache und geht unter Privatsphäre, die es zu 100% zu schützen gilt. Falls nicht, belastet es die Umwelt, weil Daten gespeichert werden.

        Und Ja, selbst wenn Apple die AirTags wieder einstampfen muss, weil ihr „System“ nicht funktioniert – jeder sollte selber wählen dürfen, was er aktiviert oder deaktiviert haben möchte.

        Allenfalls hilft wirklich die gute, alte, von vielen verpönte Alufolie. Ums Handy, nicht auf dem Kopf ;) Oder eine Blechdose :D

  • Kleiner typo im Text; „Apples vermeidlicher Portal-Seite“.
    Gemeint ist doch wohl „Apples vermeintlicher Portal-Seite“ ;-)

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38849 Artikel in den vergangenen 6325 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven