ΑρχικήSecurityΠώς ένα σφάλμα coding μετατρέπει τα AirTags σε διανομείς malware

Πώς ένα σφάλμα coding μετατρέπει τα AirTags σε διανομείς malware

Ένας ερευνητής ασφαλείας διαπίστωσε ότι μια ανοιχτή περιοχή για πληκτρολόγηση ενός αριθμού τηλεφώνου μετέτρεψε ακούσια τα AirTags σε δώρο για τους κυβερνοεγκληματίες.

AirTags

Δείτε επίσης: Android malware έχει κλέψει χρήματα από 10 εκατομμύρια χρήστες!

Ένα από τα πιο τρομακτικά στοιχεία για το mobile IT το 2021 είναι ότι η απλότητα και η ευκολία είναι πολύ δελεαστικές σε μικρές συσκευές (σκεφτείτε AppleWatch, AirTags, ακόμη και κουδούνια που παρακολουθούν τις συνθήκες υγείας, έξυπνα ακουστικά κ.λπ.).

Σε σύγκριση με τους προγόνους laptop και επιτραπέζιους υπολογιστές, καθιστούν πολύ πιο δύσκολο τον έλεγχο του εάν οι διευθύνσεις URL είναι σωστές, ότι τα κείμενα/email SPAM/malware δεν ανοίγουν και ότι οι εργαζόμενοι ακολουθούν τις ελάχιστες προφυλάξεις στον κυβερνοχώρο που ζητά το IT. Εν ολίγοις, καθώς αυξάνεται η ευκολία χρήσης, αυξάνονται και οι κίνδυνοι ασφάλειας.

Μια άλλη από τις πραγματικότητες της ασφάλειας στον κυβερνοχώρο που ήταν πάντα, ήταν ότι τα μικρά σφάλματα προγραμματισμού είναι εύκολο να γίνουν και συχνά παραβλέπονται. Και όμως, αυτά τα μικρά λάθη μπορεί να οδηγήσουν σε τεράστιες τρύπες ασφαλείας. Αυτό μας φέρνει στην Apple και στο Airtags.

Δείτε επίσης: FinFisher malware: Μολύνει το Windows Boot Manager με bootkit UEFI

Ένας ερευνητής ασφαλείας διαπίστωσε ότι μια ανοιχτή περιοχή για πληκτρολόγηση ενός αριθμού τηλεφώνου έχει μετατρέψει ακούσια τα AirTags σε δώρο του Θεού για τους κυβερνοεγκληματίες.

«Ο σύμβουλος ασφαλείας και penetration tester Bobby Rauch ανακάλυψε ότι οι AirTags της Apple – μικροσκοπικές συσκευές που μπορούν να τοποθετηθούν σε αντικείμενα που συχνά χάνονται, όπως laptops, τηλέφωνα ή κλειδιά αυτοκινήτου – δεν κάνουν «sanitize» στο user input. Αυτή η παραβίαση ανοίγει την πόρτα για χρήση των AirTags σε μια drop-επίθεση. Ένας εισβολέας μπορεί να χρησιμοποιήσει ένα κακόβουλα προετοιμασμένο AirTag για το σκοπό που θέλει», ανέφερε το δημοσίευμα.

«Αυτού του είδους η επίθεση δεν χρειάζεται πολλή τεχνολογική τεχνογνωσία – ο εισβολέας απλώς πληκτρολογεί έγκυρο XSS στο πεδίο αριθμού τηλεφώνου του AirTag, έπειτα τοποθετεί το AirTag σε λειτουργία Lost και το “ρίχνει” κάπου όπου ο στόχος είναι πιθανό να το βρει. Θεωρητικά, η σάρωση ενός χαμένου AirTag είναι μια ασφαλής ενέργεια – υποτίθεται ότι θα εμφανιστεί μόνο μια ιστοσελίδα στη διεύθυνση https://found.apple.com/. Το πρόβλημα είναι ότι το found.apple.com στη συνέχεια ενσωματώνει το περιεχόμενο του πεδίου του τηλεφωνικού αριθμού στον ιστότοπο, όπως εμφανίζεται στο πρόγραμμα περιήγησης του θύματος.»

Το χειρότερο μέρος αυτής της τρύπας ασφαλείας είναι ότι η ζημιά που μπορεί να προκαλέσει περιορίζεται μόνο από τη δημιουργικότητα του επιτιθέμενου. Με το να είναι σε θέση να εισάγει σχεδόν οποιοδήποτε URL σε αυτό το παράθυρο, σε συνδυασμό με το γεγονός ότι τα θύματα είναι απίθανο να μπουν στον κόπο να διερευνήσουν ουσιαστικά τι συμβαίνει, μπορεί να πετύχει τα πάντα.

Αυτός είναι ο λόγος για τον οποίο η χρήση συσκευών όπως τα AirTags είναι επικίνδυνη. Το μικρό τους μέγεθος και η δυνατότητα λειτουργίας ενός ατόμου τις κάνουν να φαίνονται αβλαβείς, κάτι που δεν ισχύει. Το ότι οποιαδήποτε συσκευή μπορεί να επικοινωνήσει με οποιονδήποτε ή οτιδήποτε κατά τη θέληση της συσκευής (κλειδαριές πόρτας IoT και IIoT, λαμπτήρες, αισθητήρες θερμοκρασίας και άλλα) είναι μια σημαντική απειλή. Απειλεί τους καταναλωτές, αλλά είναι πολύ πιο επικίνδυνη απειλή για τις επιχειρήσεις πληροφορικής και επιχειρήσεων ασφαλείας.

Δείτε επίσης: Microsoft: Το νέο malware FoggyWeb είναι backdoor για τους χάκερ

Οι εργαζόμενοι και οι contractors όταν αλληλεπιδρούν με αυτές τις μικρές συσκευές, τείνουν να ξεχνούν το κάθετι που γνωρίζουν για τον κυβερνοχώρο. Ορισμένες από αυτές τις συσκευές – συμπεριλαμβανομένων των AirTags και των έξυπνων ρολογιών – καθιστούν αδύνατη την επαγρύπνηση στον κυβερνοχώρο από την πλευρά των end-user. Το ότι τα AirTags μπορούν να προκαλέσουν αυτόν τον εφιάλτη είναι μια υπενθύμιση του τι είναι ικανοί να κάνουν οι χάκερ.

Πηγή πληροφοριών: computerworld.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS