AirTags als Echtwelt-Trojaner: Apple lässt XSS-Lücke über Monate offen

Ein weiterer Sicherheitsforscher hat wegen Verärgerung über Apples zugeknöpftes Bug-Bounty-Programm eine Zero-Day-Schwachstelle veröffentlicht.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen

(Bild: Apple)

Lesezeit: 2 Min.

Apple AirTags lassen sich leicht in eine "Waffe" zum Klau von Zugangsdaten oder andere Angriffe über manipulierte Webseiten verwandeln, wie der Sicherheitsforscher Bobby Rauch warnt – der Verloren-Modus der AirTags ist nämlich anfällig für Cross-Site-Scripting (XSS).

Besitzer eines AirTag können ihre Kontaktdaten hinterlegen, die ein ehrlicher Finder per NFC aus dem verlorenen Tracker ausliest. Dabei wird er auf eine spezielle URL auf found.apple.com weitergeleitet, wo sich normalerweise Telefonnummer oder E-Mail-Adresse des Besitzers nachsehen lässt.

Statt seiner Telefonnummer kann der Angreifer respektive Besitzer des AirTag beim Einrichten eine Payload wie <script>window.location=’https://10.0.1.137:8000/indexer.html’;var a = ‘’;</script> in das Telefonnummer-Feld von Apples "Wo ist?"-App einfügen, erklärt Rauch. Der Finder des AirTag wird durch das NFC-Scannen dann von found.apple.com unmittelbar auf eine manipulierte Webseite weitergeleitet.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Dafür lasse sich etwa Apples Webseite klonen und die Zugangsdaten für iCloud unter dem Vorwand abgreifen, der Finder müsse diese zur Kontaktaufnahme eingeben. Auch andere XSS-Exploits wie Session Hijacking und Clickjacking und unzählige weitere Angriffsmethoden seien so möglich, erläutert der Sicherheitsforscher. In Verbindung mit weiteren Schwachstellen etwa in Apples Safari-Unterbau WebKit könnte sich so ein Opfer auch gezielt auf manipulierte Webinhalte locken lassen, die Schadcode auf dem Gerät einschleusen.

Dies mache die AirTags zu einem billigen und wohl sehr effektiven Echtwelt-Trojaner, erläuterte Rauch gegenüber Krebs on Security. Er habe die Schwachstelle schon im Juni an Apple gemeldet und habe über die letzten drei Monate lediglich das Feedback erhalten, die Lücke werde noch untersucht. Erst Ende letzter Woche habe ihm Apple mitgeteilt, die Schwachstelle solle mit einem kommenden Update behoben werden.

Auf seine Nachfragen zu einem Zeitplan für den Fix und ob die Lücke sich für eine Auszahlung im Rahmen von Apples Bug-Bounty-Programm qualifiziere, sei keine Reaktion erfolgt, so der Sicherheitsforscher – deshalb habe er sich nun zur Veröffentlichung entschieden. Ihm sei klar, dass der AirTag-Bug wohl nicht Apples dringendstes Sicherheitsproblem ist, doch sei die Lücke auch nicht schwer zu schließen, so Rauch. Apple versuche wohl noch herauszufinden, wie das so überhaupt durchrutschen konnte.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)