4er-Pack erneut für 99 Euro
AirTag-Schwachstelle greift ehrliche Finder an: Apple will nachbessern
Apples Sachen-Finder, die im Apple Store zum offiziellen Stückpreis von 35 Euro und bei Amazon ab 25 Euro erhältlichen AirTags, sind in der Lage unbedarfte Finder auf schadhafte Webseiten umzuleiten.
Darauf macht der Security-Experte Bobby Rauch mit einem ausführlichen Bericht über aktive Schwachstellen in der Webansicht der Tracking-Taler aufmerksam.
Gefundene AirTags werden per NFC eingescannt
Seit Monaten könnten Besitzer der AirTags die für eine einfache Kontaktaufnahme vorgesehenen Rufnummern-Felder auch mit Code-Schnipseln bestücken, die einen Finder entsprechend vorbereiteter AirTags beim Scannen des Sachen-Trackers nicht auf Apples virtuelles Fundbüro-Portal „found.apple.com“, sondern auf eine beliebige Webseite weiterleiten würden.
Mögliche Angriffs-Szenarien lassen sich schnell konstruieren. Angreifer könnten den Finder etwa mit einer falschen Apple-homepage begrüßen und hier die iCloud-Zugangsdaten des gutmütigen Finders abfangen, der lediglich Kontakt mit dem Besitzer aufnehmen und Apples vermeidlicher Portal-Seite dafür blind vertraut.
Seit drei Monaten bekannt
Apple selbst wurde vor über drei Monaten auf die Schwachstelle hingewiesen, hat sich dem Sicherheitsforscher Bobby Rauch gegenüber, der Cupertino als erstes auf den Angriffsvektor aufmerksam gemacht hat, jedoch sehr schmallippig verhalten.
Apples Sicherheits-Team habe weder Fragen zum Bug beantwortet, noch bestätigt, ob das Aufspüren der Sicherheitslücke im Rahmen des sogenannten „Apple Security Bounty„-Programms vergütet werden wird.
Nur am vergangenen Donnerstag habe sich Apple einmal gemeldet und Rauch gebeten nicht öffentlich über die Schwachstelle zu sprechen, die mit einem kommenden Software-Update behoben werden soll. Rauch hat die Schwachstelle daraufhin öffentlich gemacht und in dem Blogeintrag „Hijacking iCloud Credentials with Apple Airtags (Stored XSS)“ detailliert beschrieben.
4er-Pack erneut für 99 Euro
Aktuell lässt sich das 4er-Pack der Apple AirTags wieder zum Aktionspreis von 99 Euro bestellen. Dies drückt den rechnerischen Preis für einen Sachenfinder auf knapp 25 Euro, dies sind 10 Euro günstiger als der Apple Store-Stückpreis von 35 Euro für den Apple selbst die AirTags anbietet.