Phishing aanval met Apple AirTag

Gepubliceerd op 1 oktober 2021 om 07:00
Apple AirTag

Securityspecialist Brian Krebs adviseert Apple-gebruikers om op te passen met 'AirTags' die ze op straat vinden. Met de ingebouwde NFC-chip in iPhones kunnen eerlijke vinders achterhalen wie de eigenaar van de verloren AirTag is. Hackers en cybercriminelen kunnen deze feature misbruiken om nietsvermoedende slachtoffers om te leiden naar een phishing-pagina.

Apple Air Tag

In april van dit jaar onthulde Apple haar nieuwste accessoire: de AirTag. Het is een klein, rond apparaatje dat je helpt om kwijtgeraakte spullen terug te vinden. Gebruikers bevestigen een AirTag aan spullen waar ze waarde aan hechten, zoals een rugzak, handtas of sleutelbos. Met het wereldwijd ‘Zoek mijn’-netwerk vinden ze hun verloren spullen weer terug. Men ziet dus in een oogopslag of een iPhone bijvoorbeeld nog in de sportschool of elders ligt.

Apple AitTag

Wie een AirTag kwijtraakt, moet de verloren modus inschakelen. Apple maakt dan een speciaal gegenereerde URL aan om deze specifieke AirTag te identificeren. Iemand die er een op straat vindt, kan met behulp van de NFC-chip in zijn iPhone informatie opvragen over de eigenaar en hem teruggeven.

Phishing en malware

Bij de laatste stap is het mogelijk om mensen op te lichten, zo schrijft Brian Krebs. Normaal gesproken verschijnen het telefoonnummer en aanvullende informatie in beeld zodra je een gevonden AirTag scant. De beveiligingsspecialist zegt dat oplichters een computercode kunnen invoeren die hen doorstuurt naar een nagemaakte Apple iCloud login pagina.

Doorgewinterde Apple-veteranen weten dat je niet hoeft in te loggen als je een gevonden AirTag scant met NFC-chip. Minder fervente gebruikers beseffen dat mogelijk niet en voeren zodoende hun inloggegevens in. Zonder dat ze er erg in hebben verstrekken ze hun gebruikersnaam en wachtwoord aan hackers. Deze vorm van oplichting, waarbij cybercriminelen zoveel mogelijk persoonlijke informatie van slachtoffers proberen buit te maken, noemen we phishing.

Phishing is niet het enige gevaar dat eerlijke vinders lopen. Hackers kunnen tevens een poging doen om malware te installeren bij hun slachtoffers, zoals een keylogger, spyware of fleeceware. Daarmee is het mogelijk om wachtwoorden van online diensten te stelen, online activiteiten in de gaten te houden of slachtoffers dure abonnementen aan te smeren.

Weaponized AirTag

Krebs zegt dat beveiligingsconsulent Bobby Rauch de kwetsbaarheid ontdekte. In juni nam hij contact op met Apple om ze bij te praten over deze ‘weaponized AirTag’. Drie maanden lang hoorde hij niets van het Amerikaanse technologiebedrijf: hij moest genoegen nemen met de mededeling dat medewerkers de kwestie onderzochten.

Afgelopen week kreeg Rauch het bericht dat Apple binnenkort een update uitrolt om het lek te dichten. Het bedrijf vroeg of hij in de tussentijd de kwetsbaarheid voor zich wilde houden en er niet publiekelijk over wilde praten of schrijven. Dat schoot hem in het verkeerde keelgat. Apple weigerde namelijk om antwoord te geven op verschillende vragen. Zo wilde Rauch weten of Apple hem de eer zou geven voor de ontdekking van het lek, en of hij aanspraak kon doen op een beloning uit het Apple Bug Bounty programma.

Uit onvrede over de wijze waarop Apple communiceert met mensen die een ernstige kwetsbaarheid aan de kaak stellen, besloot Rauch om zijn bevindingen te publiceren op Medium. “Ik heb ze gezegd: ‘Ik ben bereid met jullie samen te werken als jullie wat details kunnen geven over wanneer jullie van plan zijn dit te verhelpen, en of er een erkenning of uitbetaling zou plaatsvinden”, zo vertelt de beveiligingsconsulent aan Brian Krebs. Hij gaf Apple negentig dagen de tijd om te reageren voordat hij zijn bevindingen zou publiceren. “Hun antwoord was in feite: ‘We zouden het op prijs stellen als je dit niet zou lekken’.”

Ontwikkelaars en security experts

Volgens Krebs klagen meerdere ontwikkelaars en security experts dat Apple niet goed met hun omgaat als ze een lek bij het bedrijf melden. Eén van de klachten is dat de iPhone-maker teveel tijd nodig heeft om kwetsbaarheden te patchen. Andere veelgehoorde klachten zijn dat Apple lang niet altijd de eer toekent aan de ontdekker, vaak weigert om te betalen en dat onderzoekers vaak geen feedback krijgen van Apple.

Krebs wijst erop dat dit een gevaarlijke ontwikkeling is. “Het risico is natuurlijk dat sommige onderzoekers besluiten dat het minder moeite kost om hun exploits te verkopen aan hackers of aan de hoogste bieder op het dark web, die beide vaak veel meer betalen dan de prijzen voor Apples Bug Bounty programma.” Een andere optie is dat gefrustreerde security onderzoekers hun bevindingen gewoon online zetten, zodat iedereen er misbruik van kan maken.

Rauch weet de kwestie te relativeren. Hij beseft dat zijn ontdekking van de kwetsbaarheid in de AirTag niet de meest dringende veiligheids- of privacy kwestie is. Daarentegen was het volgens hem een probleem dat vrij eenvoudig te verhelpen was. Hij begrijpt dan ook niet waarom Apple daarvoor zoveel tijd nodig had.

Bron: krebsonsecurity.com, vpngids.nl

Apple gerelateerde artikelen 》

Meer info over phishing 》

Bekijk alle vormen en begrippen 》

Tips of verdachte activiteiten gezien? Meld het hier.

Phishing gerelateerde berichten

“De daders van phishing zijn vaak jong, hanteren steeds slimmere methoden en spelen in op de actualiteit”

De schade als gevolg van phishing en bankhelpdesk fraude neemt toe, meldde De Nederlandse Vereniging van Banken (NVB) gisteren. De daders van phishing zijn vaak jong, hanteren steeds slimmere methoden en spelen in op de actualiteit. Zo hoorde op 12 november een 22-jarige verdachte van phishing voor de Amsterdamse rechtbank een straf van drie jaar cel tegen zich eisen. Hij lichtte zijn slachtoffers op door zich voor te doen als een medewerker van WoningNet.

Lees meer »

17 jarige phisher aangehouden die woningzoekende in de val lokte

Op 12 oktober 2021 heeft de politie een 17-jarige jongen uit Amsterdam aangehouden op verdenking van phishing. De verdachte deed zich onder andere voor als WoningNet en heeft zo in de afgelopen maanden vermoedelijk tientallen slachtoffers in heel Nederland opgelicht voor tot dusver bekend minimaal 20.000 euro. De aanhouding kwam mede door een nauwe samenwerking met verschillende banken tot stand.

Lees meer »