Apple AirTag Üzerinde Tespit Edilen XSS Zafiyetinin Oltalama Saldırılarına Sebep Olabileceği Ortaya Çıkarıldı

Güvenlik araştırmacıları tarafından, Apple’ın Airtag ürünlerine yönelik bir stored XSS zafiyeti keşfedildi. (Airtag ürünleri; Apple kullanıcılarının istedikleri eşyayı takip etmelerini sağlayan bir nevi gps bulunduran bir anahtarlık ürünüdür.) Zafiyetin henüz Apple tarafından giderilmediğ ifade edildi.

AirTag zafiyetinin, ürünün yerini tespit etmek amacıyla “kayıp modu” etkinleştirildiği anda istismar edilebilir hale geldiğini belirten araştırmacılar, bu zafiyet vesilesiyle NFC’si aktif olan ve AirTag’i tarayabilen tüm telefonlara (Android cihazlar da dahil olmak üzere) özel mesaj gönderilebildiğini ifade ettiler. Zafiyetin, her bir AirTag için benzersiz şekilde oluşturulmuş found.apple.com domaininde mevcut olan telefon numarası kısmından istismar edilebildiği belirtildi. Açıklanan teorik saldırı senaryosuna göre, saldırgan kendi sahip olduğu AirTag üzerindeki “lost mode/kayıp modu” açarak hedeflediği kişinin yakınlarına bu AirTag’i bıraktığı takdirde, o kişinin cihazına zararlı kodları gönderebilir. Saldırı senaryosunun devamında, oltalama amaçlı oluşturulmuş iCloud giriş sayfasının hedef kullanıcıya gönderilmesiyle, kullanıcıların iCloud giriş bilgilerinin çalınabilmesinin mümkün olduğu ortaya çıkarıldı. Araştırmacılar tarafından ayrıca, masaüstü ya da notebook kullanan hedeflere de bu saldırının yapılabilmesinin mümkün olduğu ifade edildi. Zafiyetin geçtiğimiz Haziran ayı içerisinde Apple’a bildirildiğini ifade eden araştırmacılar, henüz bu açığı gideren bir güvenlik yamasının yayına alınmadığını ifade ettiler.

 

Kaynak: https://www.securityweek.com/hackers-can-exploit-apple-airtag-vulnerability-lure-users-malicious-sites utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityweek+%28SecurityWeek+RSS+Feed%29

About The Author

Reply