Appleの落とし物トラッカー「AirTag」の紛失モードを悪用したフィッシング攻撃が可能であるという報告

Appleが2021年4月に発売した落とし物トラッカー「AirTag」の紛失モードを悪用して、AirTagを拾った「善きサマリア人」を悪意あるウェブサイトに誘導する攻撃が可能であることが専門家から指摘されています。

Apple AirTag Bug Enables ‘Good Samaritan’ Attack – Krebs on Security
https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/

「AitTag」は物品に取り付けておくと落とし物がどこにあるのかを見つける手助けをしてくれるガジェットです。

Appleの音を鳴らしたり方向を示したりして落とし物を見つける手助けをしてくれる「AirTag」を使ってみた - GIGAZINE

近くにあるときには音を鳴らしたり、地図上で位置を示したりして教えてくれますが、あまりにも遠方で落としてしまったときのために、AirTagを発見した人に所有者の連絡先やメッセージを伝えることができる「紛失モード」が用意されています。

今回指摘されているのは、この「紛失モード」を悪用した攻撃です。AirTagの所有者の電話番号を設定するフィールドには任意のコードを挿入することが可能な状態になっているため、「偽のiCloudログインページへアクセスさせる」といった攻撃が可能だとのこと。

バグの存在に気づいたのはセキュリティコンサルタントのボビー・ローチ氏。2021年6月20日にAppleへ連絡したものの「調査中です」との反応で、ようやく9月23日になって「今後のアップデートで対応予定です」と連絡が返ってきたそうです。

なお、この種のバグを見つけた人には最大100万ドル(約1億1100万円)の報奨金が支払われるプログラムがありますが、本件について、ローチ氏はAppleからバグを認めるような返答をもらっておらず、報告が報奨金プログラムの対象になるかどうかについても言及がなかったとのこと。

Appleはこの件についてコメントをしていません。