Phishing aanval met Apple AirTag

Gepubliceerd op 1 oktober 2021 om 07:00

Apple AirTag

Securityspecialist Brian Krebs adviseert Apple-gebruikers om op te passen met 'AirTags' die ze op straat vinden. Met de ingebouwde NFC-chip in iPhones kunnen eerlijke vinders achterhalen wie de eigenaar van de verloren AirTag is. Hackers en cybercriminelen kunnen deze feature misbruiken om nietsvermoedende slachtoffers om te leiden naar een phishing-pagina.

Apple Air Tag

In april van dit jaar onthulde Apple haar nieuwste accessoire: de AirTag. Het is een klein, rond apparaatje dat je helpt om kwijtgeraakte spullen terug te vinden. Gebruikers bevestigen een AirTag aan spullen waar ze waarde aan hechten, zoals een rugzak, handtas of sleutelbos. Met het wereldwijd ‘Zoek mijn’-netwerk vinden ze hun verloren spullen weer terug. Men ziet dus in een oogopslag of een iPhone bijvoorbeeld nog in de sportschool of elders ligt.

Apple AitTag

Wie een AirTag kwijtraakt, moet de verloren modus inschakelen. Apple maakt dan een speciaal gegenereerde URL aan om deze specifieke AirTag te identificeren. Iemand die er een op straat vindt, kan met behulp van de NFC-chip in zijn iPhone informatie opvragen over de eigenaar en hem teruggeven.

Phishing en malware

Bij de laatste stap is het mogelijk om mensen op te lichten, zo schrijft Brian Krebs. Normaal gesproken verschijnen het telefoonnummer en aanvullende informatie in beeld zodra je een gevonden AirTag scant. De beveiligingsspecialist zegt dat oplichters een computercode kunnen invoeren die hen doorstuurt naar een nagemaakte Apple iCloud login pagina.

Doorgewinterde Apple-veteranen weten dat je niet hoeft in te loggen als je een gevonden AirTag scant met NFC-chip. Minder fervente gebruikers beseffen dat mogelijk niet en voeren zodoende hun inloggegevens in. Zonder dat ze er erg in hebben verstrekken ze hun gebruikersnaam en wachtwoord aan hackers. Deze vorm van oplichting, waarbij cybercriminelen zoveel mogelijk persoonlijke informatie van slachtoffers proberen buit te maken, noemen we phishing.

Phishing is niet het enige gevaar dat eerlijke vinders lopen. Hackers kunnen tevens een poging doen om malware te installeren bij hun slachtoffers, zoals een keylogger, spyware of fleeceware. Daarmee is het mogelijk om wachtwoorden van online diensten te stelen, online activiteiten in de gaten te houden of slachtoffers dure abonnementen aan te smeren.

Weaponized AirTag

Krebs zegt dat beveiligingsconsulent Bobby Rauch de kwetsbaarheid ontdekte. In juni nam hij contact op met Apple om ze bij te praten over deze ‘weaponized AirTag’. Drie maanden lang hoorde hij niets van het Amerikaanse technologiebedrijf: hij moest genoegen nemen met de mededeling dat medewerkers de kwestie onderzochten.

Afgelopen week kreeg Rauch het bericht dat Apple binnenkort een update uitrolt om het lek te dichten. Het bedrijf vroeg of hij in de tussentijd de kwetsbaarheid voor zich wilde houden en er niet publiekelijk over wilde praten of schrijven. Dat schoot hem in het verkeerde keelgat. Apple weigerde namelijk om antwoord te geven op verschillende vragen. Zo wilde Rauch weten of Apple hem de eer zou geven voor de ontdekking van het lek, en of hij aanspraak kon doen op een beloning uit het Apple Bug Bounty programma.

Uit onvrede over de wijze waarop Apple communiceert met mensen die een ernstige kwetsbaarheid aan de kaak stellen, besloot Rauch om zijn bevindingen te publiceren op Medium. “Ik heb ze gezegd: ‘Ik ben bereid met jullie samen te werken als jullie wat details kunnen geven over wanneer jullie van plan zijn dit te verhelpen, en of er een erkenning of uitbetaling zou plaatsvinden”, zo vertelt de beveiligingsconsulent aan Brian Krebs. Hij gaf Apple negentig dagen de tijd om te reageren voordat hij zijn bevindingen zou publiceren. “Hun antwoord was in feite: ‘We zouden het op prijs stellen als je dit niet zou lekken’.”

Ontwikkelaars en security experts

Volgens Krebs klagen meerdere ontwikkelaars en security experts dat Apple niet goed met hun omgaat als ze een lek bij het bedrijf melden. Eén van de klachten is dat de iPhone-maker teveel tijd nodig heeft om kwetsbaarheden te patchen. Andere veelgehoorde klachten zijn dat Apple lang niet altijd de eer toekent aan de ontdekker, vaak weigert om te betalen en dat onderzoekers vaak geen feedback krijgen van Apple.

Krebs wijst erop dat dit een gevaarlijke ontwikkeling is. “Het risico is natuurlijk dat sommige onderzoekers besluiten dat het minder moeite kost om hun exploits te verkopen aan hackers of aan de hoogste bieder op het dark web, die beide vaak veel meer betalen dan de prijzen voor Apples Bug Bounty programma.” Een andere optie is dat gefrustreerde security onderzoekers hun bevindingen gewoon online zetten, zodat iedereen er misbruik van kan maken.

Rauch weet de kwestie te relativeren. Hij beseft dat zijn ontdekking van de kwetsbaarheid in de AirTag niet de meest dringende veiligheids- of privacy kwestie is. Daarentegen was het volgens hem een probleem dat vrij eenvoudig te verhelpen was. Hij begrijpt dan ook niet waarom Apple daarvoor zoveel tijd nodig had.

Bron: krebsonsecurity.com, vpngids.nl

Apple gerelateerde artikelen 》

Meer info over phishing 》

Bekijk alle vormen en begrippen 》

Tips of verdachte activiteiten gezien? Meld het hier.

Phishing gerelateerde berichten

"Als IT’er heb ik in mijn leven vele phishing en spam e-mails gezien, maar deze!"

Het is donderdagmiddag en ik ga, net na mijn lunchpauze, weer achter mijn PC zitten. Als eerste check ik mijn mail. Een e-mail van de Inspectie SZW met als onderwerp “Officiële kennisgeving (6Q6W8T) met betrekking tot een mogelijk onderzoek”. Mijn hart slaat een keer over. Wat heb ik misdaan? Vlug scan ik de e-mail. Hij is opgesteld in goed Nederlands. Er is een klacht ingediend tegen mijn bedrijf en de Inspectie gaat een onderzoek starten. De mogelijke sancties zijn “het opschorten van de activiteit van uw bedrijf” of “een klacht bij de plaatselijke openbare aanklager”.  De klager zal anoniem blijven tot een eventueel proces begint. Voor wij verder gaan verwachten wij een antwoord van u. Een telefoongesprek zal ook worden ingepland om de situatie verder te bespreken.

Lees meer »

Hoe ver aanvallers bereid zijn te gaan

Cyberexperten waarschuwen voor een explosieve toename van phishing-aanvallen rond het coronavirus. De mails lijken van ziekenhuizen of overheidsinstanties te komen en zouden zogezegd extra informatie of nieuwe richtlijnen over het coronavirus bevatten.

Lees meer »

«   »