Verloren AirTag kan iemand naar kwaadaardige website doorsturen

Phishing bij verloren AirTag

Zodra een AirTag in verloren modus is gezet, wordt er een URL gegenereerd op https://found.apple.com. De eerlijke vinder kan dan de AirTag scannen met de NFC-chip in zijn smartphone om contactinformatie op te vragen. Daarbij kun je ook in de verkeerde richting worden gestuurd, zo meldt KrebsOnSecurity.

Bij het scannen word je normaal gesproken doorgestuurd naar een URL met contactinformatie over de eigenaar. Je hoeft daarbij niet in te loggen of persoonlijke gegevens in te vullen. Een kwaadwillende kan echter willekeurige code in het telefoonveld zetten, waarna de vinder wordt doorgestuurd naar een geprepareerde phishing-website, die tot doel heeft om iCloud-inlogggegevens of andere persoonlijke informatie te stelen. De webpagina kan ook een poging doen om malware te downloaden.

Wat betekent het voor jou?
Voor verstandige gebruikers is deze nieuw ontdekte kwetsbaarheid niet meteen gevaarlijk. Pas bij het vinden en scannen van een rondslingerende AirTag loop je gevaar – en dat gebeurt immers niet dagelijks. Bovendien weet een verstandige gebruiker wel dat je bij het scannen van een gevonden AirTag geen persoonlijke informatie hoeft in te vullen. AirTags zijn bovendien zo duur, dat het voor een crimineel niet loont om enkele tientallen op willekeurige plekken rond te strooien.

Het gaat dan ook vooral om een theoretisch gevaar, waarmee KrebsOnSecurity wil aantonen dat het mogelijk is. Een onnozele gebruiker zou een bewust neergelegde AirTag kunnen ‘ontdekken’, scannen en daarbij slachtoffer kunnen worden van phishing. Het meest voor de hand liggende scenario is bij een interessant doelwit zoals een artiest of andere bekende persoon of iemand die over bepaalde info beschikt, zoals een advocaat of politicus.

De kwetsbaarheid werd ontdekt door security consultant Bobby Raunch, die echter van mening is dat de AirTag wel degelijk een gevaar vormt. “Ik kan me geen ander geval herinneren waar dit soort kleine consumenten-opsporingsapparatuur tegen lage kosten worden ingezet”, vindt hij.

Apple al maanden bezig met onderzoek, ontdekker gefrustreerd
Rauch heeft Apple op 20 juni benaderd en daarna had het bedrijf enkele maanden bezig nodig voor onderzoek. Vorige week donderdag kreeg Rauch te horen dat de kwetsbaarheid in een toekomstige software-update zal worden opgelost. Tot die tijd kreeg hij het verzoek er niet over te praten. Apple reageerde echter niet meer op vragen of hij misschien erkenning zou krijgen voor zijn ontdekking en of hij in aanmerking kwam voor een vergoeding via het bug bounty-programma. Vandaar dat hij nu besloten heeft om het maar naar buiten te brengen, zodat gebruikers zich bewust zijn van de gevaren. Rauch is vooral gefrustreerd over Apple’s gebrek aan communicatie.

“Ik heb tegen ze gezegd: ik ben bereid samen te werken als jullie wat details kunnen geven over wanneer jullie van plan zijn dit te verhelpen, en of er erkenning of uitbetaling via het bug bounty-programma gaat plaatsvinden.”, laat Rauch weten. Een reactie bleef echter uit. Rauch gaf Apple een ultimatum en liet weten dat hij na 90 dagen zijn bevindingen zou publiceren. De reactie van Apple daarop was kort: “We zouden het op prijs stellen als je dit niet zou lekken.”

Dat Apple bij gevonden kwetsbaarheden niet altijd meewerkend is bleek vorige week ook bij beveiligingsonderzoeker Denis Tokarev. Hij maakte meerdere zero-day kwetsbaarheden in iOS openbaar nadat Apple zijn meldingen negeerde en maandenlang niets deed om ze op te lossen. Apple heeft inmiddels excuses aangeboden, maar voor beveiligingsonderzoekers die kwetsbaarheden ontdekken is het vaak lucratiever om ze in het grijze circuit aan te bieden. Het niet of traag reageren van Apple kreeg al veel kritiek.

Bekijk ook

AirTag gevonden? Dit kun je doen

Misschien vraag je je af wat je moet doen als je een AirTag hebt gevonden. Hoe vind je de eigenaar? En wat gebeurt er als iemand anders jouw AirTag heeft gevonden? In dit artikel leggen we uit wat je kunt doen.