2021 年关于移动 IT 的一个更可怕的事实是,简单性和便利性在小型设备(想想 AppleWatch、AirTags,甚至是跟踪健康状况的戒指、智能耳机等)中太诱人了。
与他们的笔记本电脑和台式机祖先相比,它们使得检查 URL 是否正确、垃圾邮件/恶意软件文本/电子邮件没有被打开以及雇员是否遵循 IT 要求的最低限度网络安全预防措施变得更加困难。 简而言之,随着便利性的增加,安全风险也随之增加。 (坦白:尽管我试图对桌面电子邮件保持高度警惕,但我会定期——比我应该更频繁地——放松警惕通过我的 AppleWatch 发送的消息。)
另一个已经存在、将永远存在的网络安全现实是,小的编程错误很容易犯,而且经常被忽视。 然而,这些小错误可能会导致巨大的安全漏洞。 这让我们想到了 Apple 和 Airtags。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
一位安全研究人员前来拯救 CISO,发现用于输入电话号码的开放区域无意中将 AirTags 变成了上帝送给恶意软件罪犯的礼物。
让我们转向 Ars Technica 了解灾难的详细信息。
“安全顾问和渗透测试员 Bobby Rauch 发现 Apple 的 AirTags——可以贴在笔记本电脑、手机或车钥匙等经常丢失的物品上的微型设备——不会过滤用户输入。 这种疏忽为 AirTags 用于掉落攻击打开了大门。 攻击者可以放置一个恶意准备的 AirTag,而不是在目标停车场植入装有恶意软件的 USB 驱动器,”该出版物报道称。
“这种攻击不需要太多的技术诀窍——攻击者只需在 AirTag 的电话号码字段中输入有效的 XSS,然后将 AirTag 置于丢失模式并将其放在目标可能找到它的地方。 理论上,扫描丢失的 AirTag 是一项安全的操作——它只会弹出一个网页 https://found.apple.com/。 问题是 found.apple.com 然后将电话号码字段的内容嵌入到网站中,就像受害者浏览器上显示的一样,未经处理。”
这个漏洞最糟糕的部分是它可以造成的损害仅受攻击者创造力的限制。 通过能够在该窗口中输入几乎任何 URL,再加上受害者不太可能费心去有意义地调查正在发生的事情,糟糕的选择几乎是无限的。
来自 Ars Technica 的更多信息:“如果发现,apple.com 无意中将上述 XSS 嵌入到扫描的 AirTag 的响应中,受害者将获得一个弹出窗口,其中显示 badside.tld/page.html 的内容。 这可能是针对浏览器的零日攻击,或者只是一个网络钓鱼对话框。 Rauch 假设了一个假的 iCloud 登录对话框,它可以看起来像真实的东西——但它会将受害者的 Apple 凭据转储到目标的服务器上,”该报道称。 “虽然这是一个引人注目的漏洞利用,但它绝不是唯一可用的漏洞利用——几乎任何你可以用网页做的事情都摆在桌面上并且可用。 范围从上面示例中看到的简单网络钓鱼到将受害者的手机暴露在零日无点击浏览器漏洞中。”
这就是为什么像 AirTags 这样的设备的便利性是危险的。 它们的小尺寸和单一功能使它们看起来无害,但事实并非如此。 任何可以随心所欲地与任何人或任何事物通信的设备(是的,我正在看你物联网和 IIoT 门锁、灯泡、温度传感器等)是一个主要威胁。 这对消费者是一种威胁,但对企业 IT 和安全运营来说是一个更危险的威胁。
这是因为当员工和承包商(更不用说分销商、供应商、合作伙伴甚至拥有网络证书的大客户)与这些小型设备交互时,他们往往会忘记所有网络安全培训说明。 对桌面上的电子邮件保持警惕的最终用户(不幸的是,不是每个人)仍然会像我一样在超方便的小型设备上放弃球。我们不应该这样做,但我们这样做了。
而“我们不应该”值得更多的背景。 其中一些设备(包括 AirTag 和智能手表)让最终用户几乎无法提高网络安全警惕。 这个 AirTag 噩梦只是对这一事实的又一次提醒。
这是对危险的一个很好的解释,但更有趣的部分是 Apple 对这个漏洞的态度是多么的懒惰——我在 Apple 身上多次看到这种模式。 该公司表示它关心,但它的不作为表明并非如此。
“Rauch 于 6 月 20 日就该漏洞联系了 Apple,但三个月后,当他询问此事时,该公司只会说仍在调查中。 上周四,该公司向 Rauch 发送了一封后续电子邮件,表示他们计划在即将到来的更新中解决这个弱点,与此同时,他介意不要公开谈论它吗?” KrebsOnSecurity 报道。 “Rauch 表示,Apple 从未承认过他提出的有关该漏洞的基本问题,例如他们是否有修复它的时间表,如果有的话,他们是否计划在随附的安全公告中将他归功于他。 或者他提交的内容是否有资格获得 Apple 的漏洞赏金计划,该计划承诺为报告 Apple 产品中的安全漏洞的安全研究人员提供高达 100 万美元的经济奖励。 Rauch 说,他多年来向其他供应商报告了许多软件漏洞,而苹果公司缺乏沟通促使他公开了他的发现——尽管苹果公司表示,在漏洞被修复之前保持沉默是研究人员获得安全认可的条件 忠告。”
首先,Rauch 在这里是绝对正确的。 当任何供应商提出安全问题时,他们会坐以待毙数月或更长时间,从而损害用户和行业。 如果不迅速提醒研究人员他们是否会得到报酬,他们除了提醒公众之外别无选择。
至少,供应商需要明确具体说明何时推出补丁。 关键在于:如果 Apple 暂时无法解决问题,则有义务向潜在受害者报告该漏洞,以便他们采取行动避免漏洞。 修复漏洞显然要好得多,但如果 Apple 不尽快这样做,就会造成难以为继的局面。
这是由来已久的错误披露问题,这些赏金计划本应解决的问题。 补丁前的披露存在将漏洞标记给网络窃贼的风险,他们可能会急于利用它们。 也就是说,并不是说一些攻击者还不知道这个漏洞。 在这种情况下,Apple 的不作为无异于让受害者容易受到攻击。
苹果的行为令人愤怒。 通过将支付承诺与沉默请求联系起来的赏金计划,公司有义务认真对待这两个要素。 如果它有这样一个程序,然后花了太长时间来解决这些漏洞,它就会破坏整个程序,以及消费者和企业。
