Securityspecialist Brian Krebs adviseert Apple-gebruikers om op te passen met 'AirTags' die ze op straat vinden. Met de ingebouwde NFC-chip in iPhones kunnen eerlijke vinders achterhalen wie de eigenaar van de verloren AirTag is. Hackers en cybercriminelen kunnen deze feature misbruiken om nietsvermoedende slachtoffers om te leiden naar een phishing-pagina.
Apple Air Tag
In april van dit jaar onthulde Apple haar nieuwste accessoire: de AirTag. Het is een klein, rond apparaatje dat je helpt om kwijtgeraakte spullen terug te vinden. Gebruikers bevestigen een AirTag aan spullen waar ze waarde aan hechten, zoals een rugzak, handtas of sleutelbos. Met het wereldwijd ‘Zoek mijn’-netwerk vinden ze hun verloren spullen weer terug. Men ziet dus in een oogopslag of een iPhone bijvoorbeeld nog in de sportschool of elders ligt.
Wie een AirTag kwijtraakt, moet de verloren modus inschakelen. Apple maakt dan een speciaal gegenereerde URL aan om deze specifieke AirTag te identificeren. Iemand die er een op straat vindt, kan met behulp van de NFC-chip in zijn iPhone informatie opvragen over de eigenaar en hem teruggeven.
Phishing en malware
Bij de laatste stap is het mogelijk om mensen op te lichten, zo schrijft Brian Krebs. Normaal gesproken verschijnen het telefoonnummer en aanvullende informatie in beeld zodra je een gevonden AirTag scant. De beveiligingsspecialist zegt dat oplichters een computercode kunnen invoeren die hen doorstuurt naar een nagemaakte Apple iCloud login pagina.
Doorgewinterde Apple-veteranen weten dat je niet hoeft in te loggen als je een gevonden AirTag scant met NFC-chip. Minder fervente gebruikers beseffen dat mogelijk niet en voeren zodoende hun inloggegevens in. Zonder dat ze er erg in hebben verstrekken ze hun gebruikersnaam en wachtwoord aan hackers. Deze vorm van oplichting, waarbij cybercriminelen zoveel mogelijk persoonlijke informatie van slachtoffers proberen buit te maken, noemen we phishing.
Phishing is niet het enige gevaar dat eerlijke vinders lopen. Hackers kunnen tevens een poging doen om malware te installeren bij hun slachtoffers, zoals een keylogger, spyware of fleeceware. Daarmee is het mogelijk om wachtwoorden van online diensten te stelen, online activiteiten in de gaten te houden of slachtoffers dure abonnementen aan te smeren.
Weaponized AirTag
Krebs zegt dat beveiligingsconsulent Bobby Rauch de kwetsbaarheid ontdekte. In juni nam hij contact op met Apple om ze bij te praten over deze ‘weaponized AirTag’. Drie maanden lang hoorde hij niets van het Amerikaanse technologiebedrijf: hij moest genoegen nemen met de mededeling dat medewerkers de kwestie onderzochten.
Afgelopen week kreeg Rauch het bericht dat Apple binnenkort een update uitrolt om het lek te dichten. Het bedrijf vroeg of hij in de tussentijd de kwetsbaarheid voor zich wilde houden en er niet publiekelijk over wilde praten of schrijven. Dat schoot hem in het verkeerde keelgat. Apple weigerde namelijk om antwoord te geven op verschillende vragen. Zo wilde Rauch weten of Apple hem de eer zou geven voor de ontdekking van het lek, en of hij aanspraak kon doen op een beloning uit het Apple Bug Bounty programma.
Uit onvrede over de wijze waarop Apple communiceert met mensen die een ernstige kwetsbaarheid aan de kaak stellen, besloot Rauch om zijn bevindingen te publiceren op Medium. “Ik heb ze gezegd: ‘Ik ben bereid met jullie samen te werken als jullie wat details kunnen geven over wanneer jullie van plan zijn dit te verhelpen, en of er een erkenning of uitbetaling zou plaatsvinden”, zo vertelt de beveiligingsconsulent aan Brian Krebs. Hij gaf Apple negentig dagen de tijd om te reageren voordat hij zijn bevindingen zou publiceren. “Hun antwoord was in feite: ‘We zouden het op prijs stellen als je dit niet zou lekken’.”
Ontwikkelaars en security experts
Volgens Krebs klagen meerdere ontwikkelaars en security experts dat Apple niet goed met hun omgaat als ze een lek bij het bedrijf melden. Eén van de klachten is dat de iPhone-maker teveel tijd nodig heeft om kwetsbaarheden te patchen. Andere veelgehoorde klachten zijn dat Apple lang niet altijd de eer toekent aan de ontdekker, vaak weigert om te betalen en dat onderzoekers vaak geen feedback krijgen van Apple.
Krebs wijst erop dat dit een gevaarlijke ontwikkeling is. “Het risico is natuurlijk dat sommige onderzoekers besluiten dat het minder moeite kost om hun exploits te verkopen aan hackers of aan de hoogste bieder op het dark web, die beide vaak veel meer betalen dan de prijzen voor Apples Bug Bounty programma.” Een andere optie is dat gefrustreerde security onderzoekers hun bevindingen gewoon online zetten, zodat iedereen er misbruik van kan maken.
Rauch weet de kwestie te relativeren. Hij beseft dat zijn ontdekking van de kwetsbaarheid in de AirTag niet de meest dringende veiligheids- of privacy kwestie is. Daarentegen was het volgens hem een probleem dat vrij eenvoudig te verhelpen was. Hij begrijpt dan ook niet waarom Apple daarvoor zoveel tijd nodig had.
Bron: krebsonsecurity.com, vpngids.nl
Apple gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Tips of verdachte activiteiten gezien? Meld het hier.
Phishing gerelateerde berichten
Afterpay phishingmail in omloop, pas op!
Mail in omloop uit naam van Afterpay, klik niet op de linkjes, maar tik de webpagina zelf in www.afterpay.nl en log in om te kijken als er ook daadwerkelijk een betaling klaar staat.
Vodafone phishing over storing veroorzaakt tal van slachtoffers
Diverse slachtoffers door phishingmail van cybercriminelen uit naam van Vodafone, na storing.
Wees alert! Veel nep mails in omloop van Visa en Mastercard (ICS)
Een valse e-mail is een e-mail die gestuurd wordt uit naam van ICS. Het doel van de e-mail is dat u persoonlijke gegevens achterlaat. De e-mail bevat dan ook vaak een oproep om gegevens in te vullen en een link naar een valse website.
Nieuwe Rabobank bankpas ligt klaar
Al diverse slachtoffers door phishing mail uit naam van Rabobank, waarin een nieuwe betaalpas wordt aangekondigd. Pas op, klik niet op de link in de mail!
Schade door phishing verdubbeld!
In het eerste halfjaar van 2018 hengelden cybercriminelen ruim € 1,3 miljoen binnen via phishing. In een jaar tijd is de schade van cybercrime voor consumenten verdubbeld, melden de Nederlandse Vereniging van Banken (NVB) en Betaalvereniging Nederland.
Veel Netflix nepmails in omloop, cybercriminelen hengelen naar account gegevens!
Veel valse mails uit naam van Netflix in omloop, hier de meest voorkomende mails.