Medium.comは9月29日(現地時間)、「Zero-Day: Hijacking iCloud Credentials with Apple Airtags (Stored XSS)」において、Appleが提供しているAirTagの「紛失モード」を悪用すると、善意の第三者からiCloudの資格情報を盗み出せる可能性があると警告している。AirTagは2021年4月にAppleが発売した紛失防止タグ。AirTagを取り付けた鍵やバッグを紛失した場合、スマートフォンやPCから音を鳴らしたり位置情報を利用したりしてありかを探すことができる。
通常、AirTagが「紛失モード」に設定されると、Appleの公式サイトである「https://found.apple.com」に一意のURLが生成され、そこに対象のAirTagの所有者の電話番号やメールアドレスといった連絡先を入力できる。そして、紛失したAirTagを見つけた第三者がそのAirTagをスキャンすると、自動的にfound.apple.comのURLに転送され、落とし主の連絡先が確認できるようになっている。
Medium.comによれば、この紛失モードのURLの連絡先欄に悪意のあるコードが挿入できる「Stored XSS(Cross Site Scripting)」 の脆弱性が存在するという。この脆弱性によって、攻撃者は自分のAirTagを紛失モードにした上で、found.apple.comにURLを生成して連絡先フィールドに任意のコードを仕込むことができる。例えば、AirTagをスキャンした人を偽のiCloudサイトにリダイレクトしてログイン情報を盗み出すといった攻撃に悪用される可能性があるという。
本来、紛失モードのAirTagの連絡先情報にアクセスするためにiCloudへのログインなどは必要ない。しかし、そのことを知らないユーザーは、偽サイトであることに気づかずにログイン情報を入力してしまう可能性がある。
Medium.comの記事を執筆したセキュリティ・コンサルタントのBobby Rauch氏によれば、この脆弱性を悪用すれば、セッショントークンのハイジャックやクリックジャッキングなどといった他のXSS攻撃を実行することもできるという。
Rauch氏は2021年6月20日にAppleにこの問題を報告したが、同9月28日時点でAppleはまだこの問題に対処していないという。報告から90日が経過したことと、Appleがこの脆弱性の発見が報奨金プログラムの対象になるかどうかを明確にしなかったことから、情報の公開に踏み切ったとのことだ。