セキュリティ研究者が、ハッカーが何も知らないユーザーを iCloud のフィッシング ページに誘導できる可能性がある AirTag の脆弱性について警鐘を鳴らしている。
この問題は、AirTagの紛失モードに起因しています。このモードでは、置き去りにされたAirTagを見つけた人が、その位置を特定してユーザーに返却するための手順を実行できます。所有者が紛失モードを有効にすると、専用のウェブサイトfound.apple.comに電話番号や住所が表示されます。しかし、Bobby Rauch氏(Krebs on Security経由)によると、Appleの紛失モードは「現時点では、ユーザーが電話番号欄に任意のコンピュータコードを挿入するのを阻止できない」ため、何も知らないAirTag回収者をフィッシングサイトに誘導してしまう可能性があります。
最も一般的な脅威は、AppleのiCloudログインサイトを模倣したフィッシングサイトにユーザーを誘導し、ユーザー名とパスワードを入力させるコードを追加することです。このレポートでは、この脆弱性を、誰かが見つけてコンピュータに差し込む「マルウェアが仕込まれたUSBメモリ」に例えています。
この事件を現代に置き換えると、兵器化された AirTag 追跡デバイスが、善良なサマリア人をフィッシング ページや、デバイスに悪意のあるソフトウェアを押し付けようとする Web サイトにリダイレクトするために使用される可能性があります。
6月にこのバグを発見したラウチ氏は、「紛失したエアタグを発見したエンドユーザーを攻撃者が攻撃する方法は無数にある」と述べている。ラウチ氏は数ヶ月前にAppleに連絡を取ったが、同社の研究者から脆弱性が今後のアップデートで修正されると伝えられたのはつい先週のことだったという。
AppleのAirTagは、指輪やキータグを使って他のデバイスに接続できるBluetooth追跡デバイスです。ユーザーは「探す」アプリでApple以外のデバイスを追跡し、超広帯域技術を用いてアイテムの位置を正確に特定できます。
ラウシュ氏はクレブス・オン・セキュリティに対し、Appleの「コミュニケーション不足」が発見を公表するきっかけになったと語った。また、Appleは発見を非公開にするよう要請したとも述べている。別のセキュリティ研究者は最近、AppleがiOSのゼロデイ脆弱性を修正した際に、自身の名前を明かさなかったとして非難した。Appleはセキュリティバウンティプログラムで、欠陥や脆弱性を発見した人に最大100万ドルの賞金を提供している。
著者: マイケル・サイモン、Macworld編集長
マイケル・サイモンは20年以上にわたりAppleを取材しています。iPodがまだiWalkだった頃からSpymacで噂を取材し始め、Appleがこれまでに製造したほぼ全てのiPhoneを所有しています。妻と息子、そして数え切れないほどのガジェットと共にコネチカット州に住んでいます。
