AirTag: attenzione al bug di sicurezza della modalità smarrito. Rischio di phishing per chi li ritrova

I piccoli dispositivi di geolocalizzazione AirTag di Apple sono provvisti di una funzione, la "modalità smarrito", che consente a chiunque trovi uno di questi piccoli oggetti di scansionarlo con uno smartphone (iOS o Android) e scoprire il numero di telefono del proprietario per contattarlo e accordarsi per la restituzione dell'oggetto smarrito.

Questa funzionalità pare essere afflitta da un grave bug di sicurezza che in caso di sfruttamento potrebbe consentire di reindirizzare lo smartphone di colui che ritrova l'AirTag smarrito ad una pagina iCloud contraffatta o ad un qualsiasi altro sito web contenente malware.

Quando un utente non trova più un AirTag (e quindi l'oggetto a cui è apposto) può attivare la modalità smarrito: in questo modo i sistemi di Apple generano un URL univoco che punta all'indirizzo https://found.apple.com e permette al proprietario di inserire un messaggio personale e un numero di telefono di contatto. Chiunque dovesse trovare l'AirTag smarrito e lo scansioni con uno smartphone, verrà immediatamente indirizzato all'url per visionare il messaggio del proprietario.

Quando un AirTag viene scansionato, mostrerà quindi un breve messaggio che chiede a colui che l'ha trovato di chiamare il legittimo proprietario al numero di telefono indicato. Si tratta di informazioni che vengono visualizzate automaticamente che non richiedono a chi ha trovato l'AirTag di fornire alcuna informazione personale. Si tratta di un dettaglio importante perché - ed è questa la scoperta del ricercatore - la modalità smarrito non impedisce agli utenti di iniettare codice arbitrario nel campo del numero di telefono, come ad esempio un comando che possa indirizzare il dispositivo di scansione di colui che ritrova l'AirTag smarrito su una falsa pagina di accesso di Apple iCloud.

La vulnerabilità è stata scoperta dal ricercatore Bobby Rauch, il quale ha sottolineato come questa falla, unitamente al costo assolutamente abbordabile dei piccoli tracker, rende gli AirTag dei veri e propri cavalli di Troia "fisici" di particolare efficacia: "Non sono in grado di ricordare un altro caso in cui dispositivi consumer di questo tipo e a basso costo potrebbero essere usati come armi". Per esemplificare, un dispositivo di tracciamento AirTag potrebbe essere usato, sfruttando questa vulnerabilità, per indirizzare chi ha ritrovato l'oggetto smarrito verso una pagina di phishing o a un sito web che tenta di recapitare software dannoso sul suo dispositivo.

Rauch ha informato Apple della vulnerabilità lo scorso 20 giugno, ma nei successivi tre mesi a seguito di varie richieste di informazioni la società non ha fatto sapere alcunché se non una semplice comunicazione di essere al lavoro sulla cosa. La scorsa settimana Rauch è stato contattato da Apple a cinque giorni dalla scadenza della finestra temporale di 90 giorni dopo la quale è ammessa la divulgazione pubblica: la società ha comunicato di voler risolvere la vulnerabilità in un successivo aggiornamento e chiedendo nel frattempo di non rivelare i dettagli di quanto scoperto.

Il ricercatore ha sottolineato di aver richiesto in questi mesi aggiornamenti sullo stato delle cose, si è proposto di aiutare a risolvere il problema e ha richiesto se quanto individuato si qualificasse per una ricompensa all'interno del programma bug bounty. L'unica risposta ricevuta, a quanto pare, è quella della scorsa settimana dove gli è stato chiesto di non rendere noti i dettagli. Quanto raccontato da Rauch collima con le esperienze che altri ricercatori di sicurezza hanno raccontato al Washington Post, in un'inchiesta sui problemi di comunicazione e trasparenza del programma Bug Bounty di Apple.

Rauch ha reso noti i dettagli sulla falla nelle scorse ore, condividendo inoltre la sua esperienza con il noto blog Krebs on Security.