Los éxitos siguen llegando al programa de recompensas por errores de Apple, que los investigadores de seguridad dicen que es lento e inconsistente para responder a sus informes de vulnerabilidad.
Esta vez, el vulnerabilidad del día se debe a que no se desinfectó un campo de entrada del usuario, específicamente, el campo de número de teléfono que los propietarios de AirTag usan para identificar sus dispositivos perdidos.
El ataque del buen samaritano
El consultor de seguridad y probador de intrusión Bobby Rauch descubrió que las AirTags de Apple, dispositivos diminutos que se pueden colocar en artículos que se pierden con frecuencia, como computadoras portátiles, teléfonos o llaves de automóviles, no desinfectan la entrada del usuario. Este descuido abre la puerta para que AirTags se use en un ataque de caída. En lugar de sembrar el estacionamiento de un objetivo con unidades USB cargadas con malware, un atacante puede dejar caer un AirTag malintencionado.
Este tipo de ataque no necesita mucho conocimiento tecnológico: el atacante simplemente escribe XSS válido en el campo de número de teléfono de AirTag, luego pone AirTag en modo Perdido y lo deja en algún lugar donde el objetivo pueda encontrarlo. En teoría, escanear un AirTag perdido es una acción segura; se supone que solo abre una página web en https://found.apple.com/. El problema es ese found.apple.com luego incrusta el contenido del campo del número de teléfono en el sitio web tal como se muestra en el navegador de la víctima, sin desinfectar.
La forma más obvia de explotar esta vulnerabilidad, informa Rauch, es usar XSS simple para mostrar un cuadro de diálogo de inicio de sesión falso de iCloud en el teléfono de la víctima. Esto no requiere mucho en el camino del código:
Si found.apple.com incrusta inocentemente el XSS anterior en la respuesta de un AirTag escaneado, la víctima obtiene una ventana emergente que muestra el contenido de badside.tld/page.html. Esto podría ser un exploit de día cero para el navegador o simplemente un cuadro de diálogo de phishing. Rauch plantea la hipótesis de un cuadro de diálogo de inicio de sesión de iCloud falso, que se puede hacer para que parezca real, pero que en su lugar vuelca las credenciales de Apple de la víctima en el servidor del objetivo.
Si bien se trata de un exploit convincente, de ninguna manera es el único disponible: casi todo lo que puede hacer con una página web está sobre la mesa y disponible. Eso va desde el simple phishing como se ve en el ejemplo anterior hasta exponer el teléfono de la víctima a una vulnerabilidad de navegador sin clic de día cero.
Más detalles técnicos, y videos simples que muestran tanto la vulnerabilidad como la actividad de la red generada por la explotación de la vulnerabilidad por parte de Rauch, están disponibles en la divulgación pública de Rauch en Medium.
Esta divulgación pública presentada por Apple
Según un informe de Krebs on Security, Rauch está divulgando públicamente la vulnerabilidad en gran parte debido a fallas de comunicación de Apple, un estribillo cada vez más común.
Rauch le dijo a Krebs que inicialmente reveló la vulnerabilidad de forma privada a Apple el 20 de junio, pero durante tres meses todo lo que la compañía le dijo es que «todavía estaba investigando». Esta es una respuesta extraña para lo que parece ser un error extremadamente simple de verificar y mitigar. El jueves pasado, Apple le envió un correo electrónico a Rauch para decirle que la debilidad se abordaría en una próxima actualización y le pidió que no hablara públicamente sobre eso mientras tanto.
Apple nunca respondió a las preguntas básicas que le hizo Rauch, como si tenía un cronograma para corregir el error, si planeaba darle crédito por el informe y si calificaría para una recompensa. La falta de comunicación de Cupertino llevó a Rauch a hacer público Medium, a pesar de que Apple requiere que los investigadores guarden silencio sobre sus descubrimientos si quieren crédito y/o compensación por su trabajo.
Rauch expresó su disposición a trabajar con Apple, pero le pidió a la compañía que «brinde algunos detalles sobre cuándo planea remediar esto, y si habría algún reconocimiento o pago de recompensas por errores». También avisó a la empresa que pensaba publicar en 90 días. Rauch dice que la respuesta de Apple fue «básicamente, te agradeceríamos que no filtraras esto».
Nos comunicamos con Apple para obtener comentarios y actualizaremos aquí con cualquier respuesta.
