Apple AirTag: come funziona l'attacco del buon samaritano

Gli Apple AirTag sono dispositivi che se applicati su un oggetto che non integra alcuna funzionalità smart permette di renderlo intelligente permettendone l’individuazione a distanza.
Di questi prodotti si era parlato molto nelle scorse settimane perché in alcune circostanze possono essere utilizzate dagli stalker. Ecco perché Apple ha annunciato che i dispositivi Android potranno riconoscere la presenza di AirTag nelle vicinanze.

Bobby Rauch, consulente esperto di sicurezza e penetration tester, ha scoperto una nuova lacuna negli AirTag di Apple che potrebbe essere presto utilizzata da criminali informatici determinati a fare breccia nei sistemi informatici altrui.

La modalità smarrito con cui è possibile contrassegnare gli AirTag consente di invitare chiunque rinvenisse il dispositivo a riconsegnarlo al legittimo proprietario.
Attraverso l’app Dov’è di Apple si può ad esempio indicare a distanza il messaggio che il “buon samaritano” potrà leggere scansionando il codice applicato sull’AirTag. Si può inserire un numero di telefono da chiamare e ad esempio promettere una ricompensa.

Rauch ha scoperto che un malintenzionato può provocare un reindirizzamento verso una pagina di phishing o inviare l’utente verso un sito dannoso.

Alla scansione del codice applicato sull’AirTag indicato come perso, con un dispositivo iOS o Android, vengono presentate una serie di informazioni senza chiedere alcun login o l’inserimento di informazioni personali. Chi dovesse trovare un AirTag abbandonato, però, potrebbe non saperlo ed essere indotto a inserire dati in una pagina direttamente gestita dagli aggressori.

“Non riesco a ricordare un altro caso in cui un dispositivo di tracciamento consumer di questo tipo acquistabile a basso prezzo potesse essere trasformato in un’arma informatica“, ha commentato il ricercatore.

Se pensate che quanto scoperto abbia uno scarso valore, basti ricordare che il worm Stuxnet, usato per mettere fuori uso gli impianti di arricchimento dell’uranio in Iran una decina di anni fa, si è fatto strada nell’infrastruttura di rete perché una chiavetta USB all’apparenza innocente era stata lasciata presso uno degli stabilimenti. Collegata a uno dei PC aziendali, il malware ha cominciato a muoversi lateralmente aggredendo l’intera infrastruttura.
Ne abbiamo parlato nell’articolo in cui ci chiediamo se sia sicuro collegare la chiavetta USB di uno sconosciuto.
La stessa tattica era stata utilizzata nel 2008 per aggredire il Dipartimento della Difesa degli Stati Uniti. Spesso basta il collegamento di una chiavetta USB trovata in un parcheggio per provocare danni incalcolabili.
Certo, c’è un problema nella configurazione dei permessi e dei sistemi di sicurezza a livello di rete locale se un malware da un singolo PC può disattivare un intero impianto, crittografare dati riservati (ransomware) o mettere in ginocchio un’intera azienda ma niente può essere trattato con sufficienza quando si parla di sicurezza informatica.
In un altro articolo abbiamo visto come nasce un attacco informatico e quando può diventare davvero un grosso problema.

A livello pratico immaginate di trovare uno di questi AirTag “hackerati” e di collegarlo a una rete aziendale per “vedere cosa c’è dentro“: le conseguenze potrebbero essere nefaste.

Apple ha fatto presente che i tecnici dell’azienda sono già al lavoro per risolvere la vulnerabilità e che in ogni caso dovrebbero essere aggiunte nuove limitazioni sui soggetti che hanno titolo per inserire le informazioni da esporre quanto AirTag è posto nella “modalità smarrito”.