パスワードを忘れた? アカウント作成
15437684 story
アップル

AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 14

ストーリー by nagazou
割に合わないとは思うが 部門より
紛失防止タグ「AirTag」には、落としたときのために紛失モードという機能が用意されているが、この機能をフィッシング詐欺に悪用される可能性が指摘されている。AirTagを紛失モードに設定すると、専用のURLが生成され、AirTagの持ち主は連絡先として電話番号またはメールアドレスを登録できる。落としたAirTagを拾った人がNFC対応のスマートフォンで読み取ると、は持ち主の連絡先が分かるURLに誘導される仕組み。このとき、ログインしたり個人情報を入力するといった必要はない(Krebs on SecurityEngadget)。

しかし、米セキュリティ情報サイトの「Krebs on Security」によると、この登録可能な連絡先の電話番号フィールドには、任意のコンピュータコードを挿入できる。このため拾った人が偽のiCloudログインページや悪意のあるWebサイトにリダイレクトされてしまう可能性があるそうだ。偽サイトなどに誘導し、AirTagを拾った人のが個人情報を抜かれてしまう可能性があるらしい。
  • by Anonymous Coward on 2021年10月04日 16時17分 (#4124872)

    この登録可能な連絡先の電話番号フィールドには、任意のコンピュータコードを挿入できる。

    もしかして、ただのスクリプトインジェクションできるってこと?
    20年前ならいざ知らず、この時代に??

    ここに返信
    • by Anonymous Coward on 2021年10月04日 16時55分 (#4124904)

      今風に言うとStored XSSですね。発見者のブログにもそう書いてあります。

      Zero-Day: Hijacking iCloud Credentials with Apple Airtags (Stored XSS) | by Bobbyr | Sep, 2021 | Medium [medium.com]

    • by Anonymous Coward

      20年前ならいざ知らず、この時代に??

      今でもくくるクートを
      シングルかダブルかで何が違うのか
      理解してないってのは稀によくいる

      シェルではシングルだと実行コード受け渡し可だったり
      HTMLではどっちでも要素名でも値でも認識したり
      Javascriptだとネスト時に使い分けできたり

      人手足りなくてやっつけ人員補充での実装とかしてると
      問答無用でシングルくくりをしちゃう人員が来ちゃうことも

      # スクリプトキディにプログラミングをさせてはいけない

    • by Anonymous Coward

      TrueさんがiCloudから締め出された [apple.srad.jp]時点でお察し案件ではある。

      ほんと、文字列処理苦手なんだねぇ……

      • by Anonymous Coward

        ほんと、文字列処理苦手なんだねぇ……

        GAFAとか括って言うけど、「Appleでソフトウェアエンジニアやってました」とか、もはや経歴としてマイナスじゃね?このレベルのやらかしが普通にある会社だと。

        # GoogleもAmazonもFacebookも、ここまで酷いのは稀だろ

        • by Anonymous Coward on 2021年10月04日 19時18分 (#4125033)

          「Appleでソフトウェアエンジニアやってました」とか、もはや経歴としてマイナスじゃね?

          ロゴからして欠けて足りないわけですしおすし

        • by Anonymous Coward

          iPhoneのWi-Fi不具合 [apple.srad.jp]と一緒でセキュリティ面が甘いというか悪意に弱いだけ。
          # それが問題ではあるが……

        • by Anonymous Coward

          MSのエンジニアで億万長者の話はよく聞くけど、Appleのエンジニアだとウォズ御大以外知らない。
          そういうことかなと。

          • by Anonymous Coward

            ワシントンとカリフォルニアの住宅価格比べてから書きな

        • by Anonymous Coward

          他と違ってAppleの名前だけあれば売れる世界だからねぇ
          やらかしてもノーダメなら、まともにテストしないで出すのは最も儲かる選択だし

          • by Anonymous Coward

            アップデート告知で信者が嬉ションするからやめられない

      • by Anonymous Coward

        なぜかNFD問題引き起こしてますしね。
        UNICODEコンソーシアムの最初期からのメンバーのはずなのに…

      • by Anonymous Coward

        泥臭い文字列のチェック処理とかは、クールなプログラムじゃないから林檎教団的には受け入れられないのだ。

  • by Anonymous Coward on 2021年10月04日 16時45分 (#4124895)

    正しくはこっち

    Apple AirTag Bug Enables ‘Good Samaritan’ Attack – Krebs on Security
    https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-sama... [krebsonsecurity.com]

    ここに返信
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...