X
广告
首页 > 业界 > 关键词  > AirTag最新资讯  > 正文

AirTag“丢失模式”漏洞可以将用户重定向到恶意网站

2021-09-29 08:47 · 稿源:站长之家

站长之家(ChinaZ.com)9月29日 消息:根据KrebsOnSecurity发布的新报告,AirTag的丢失功能,允许任何人用智能手机扫描丢失AirTag找到主人的联系信息,并且可以被滥用于网络钓鱼诈骗。

AirTag.jpg

(图源:苹果官网)

当 AirTag 设置为丢失模式时,它会为 https://found.apple.com 生成一个 URL,并让 AirTag所有者输入联系电话号码或电子邮件地址。扫描该 AirTag 的任何人都会被自动定向到包含所有者联系信息的 URL,无需登录或个人信息即可查看所提供的联系方式。

根据 KrebsOnSecurity 的说法,丢失模式不会阻止用户将任意计算机代码注入电话号码字段,因此扫描 AirTag 的人可能会被重定向到虚假的iCloud登录页面或其他恶意站点。因此用户可能会被诱骗到虚假的“iCloud”登录页面或泄露其他个人信息,也可能被欺骗下载恶意软件。

AirTag漏洞是由安全顾问 Bobby Raunch 发现的,他告诉KrebsOnSecurity,该漏洞使AirTags变得危险。Rauch 于6月20日联系了苹果,苹果花了几个月的时间进行调查。苹果上周四告诉 Rauch,它将在即将到来的更新中解决这个弱点,并要求他不要在公开场合谈论它。

苹果没有回答他是否会获得信用或他是否有资格参加漏洞赏金计划的问题,因此由于苹果缺乏沟通,他决定分享有关漏洞的详细信息。

“我告诉他们,‘我愿意与你合作,如果你能提供一些关于你计划何时修复这个问题的细节,以及是否会有任何认可或错误赏金支付’,”Rauch说,并指出他告诉苹果他计划在通知他们后90天内公布他的发现。“他们的回答基本上是,'如果你不泄露这个,我们将不胜感激。'”

上周,安全研究员Denis Tokarev公开了几个 iOS 零日漏洞,因为苹果公司无视他的报告并且几个月都未能解决这些问题。苹果此后道歉,但该公司继续因其漏洞赏金计划和对报告的反应迟缓而受到批评。

  • 相关推荐
  • 大家在看
  • AirTag“丢失模式”存安全漏洞:能引导用户跳转到恶意/钓鱼网站

    根据 KrebsOnSecurity 分享的一份最新安全报告,苹果允许任何智能手机用户扫描丢失的 AirTag 以定位所有者的联系信息,该功能可能被滥用于网络钓鱼诈骗。当一个 AirTag 被设置为丢失模式时,它会生成一个 URL“https://found.apple.com”,它让 AirTag 所有者输入联系电话或电子邮件地址。任何扫描该 AirTag 的人都会被自动引导到有主人联系信息的 URL,查看所提供的联系信息不需要登录或个人信息。据 KrebsOnSecurity 称,丢失模?

  • 美媒合规披露教职网站安全漏洞 却遭密苏里州长法律威胁

    在媒体记者发现并负责任地披露了安全漏洞之后,密苏里州州长 Mike Parson 却威胁要对其采取法律行动。《圣路易斯邮报》指出,该漏洞使得教师教育工作者的社保号码暴露无遗且易于访问,于是他们很快向有关部门进行了通报。视频截图(来自:KMBC 9)遗憾的是,尽管该报一直等到处于危险状态的 HTML 页面被官方撤下才刊登相关文章,Mike Parson 还是无理地将报道记者称作“黑客”,甚至要求县检察官对其发起调查。由该报(Post-Dispat

  • 苹果仍在调查iOS15中未修复的安全漏洞

    据外媒appleinsider报道称,苹果公司回应了一名安全研究人员,该研究人员声称苹果公司忽略了他的几份漏洞报告,并表示它仍在调查这些问题。

  • 苹果“仍在调查”iOS 15中未修补的三个安全漏洞

    9 月初,安全研究员 Denis Tokarev 撰写了一篇博文,其中无奈地吐槽了与苹果漏洞赏金计划的一些互动。事情源于通过 Bug Nounty Program 向苹果提交的四个安全漏洞,然而等待许久之后,他发现只有一个得到了修复。最新消息是,苹果已就此事给出了回应,声称其“仍在调查”相关问题。Tokarev 在接受 Motherboard 采访时称,在早前推出的 iOS 15 更新中,其它三个漏洞未能得到及时修复。现在,苹果方面已就延迟沟通致歉,并补充说明该

  • Apple Pay被爆安全漏洞 可绕过锁屏进行欺诈性支付

    英国的一个研究小组近日发现了和 Visa 卡和 Apple Pay 相关的安全问题,可能导致攻击者绕过锁屏并进行欺诈性支付。根据该研究,当 Visa 卡在 iPhone 上被设置为苹果的 Express Transit 模式时,该缺陷可能允许攻击者绕过 iPhone 锁屏,在没有密码的情况下进行非接触式支付。苹果的 Express Transit 模式允许用户在不解锁设备的情况下,使用信用卡、借记卡或交通卡快速支付交通费用。研究人员说,该漏洞只影响存储在 Wallet 应用中?

  • 研究人员称苹果忽略了iOS15中仍然存在的三个零日安全漏洞

    2019年,苹果向公众开放了其安全赏金计划,向与苹果共享关键iOS、iPadOS、macOS、tvOS 或 watchOS 安全漏洞的研究人员提供高达100万美元的奖金,包括用于利用它们的技术。该计划旨在帮助苹果尽可能保证其软件平台的安全。

  • 最新的Chrome和Edge稳定版双双修复了关键的内存UAF安全漏洞

    微软和Google都发布了新的稳定通道版本,修补了一个基于Chromium的Use-After-Free(UAF)的关键漏洞,该漏洞可能允许攻击者在成功利用后执行任意代码。Edge的版本是94.0.992.31,而Google浏览器的版本是94.0.4606.61。新的构建版本是基于Chromium版本94.0.4606.54。

  • 美图秀秀被罚关闭网站

    近日,益阳市网信办根据《中华人民共和国网络安全法》,对美图秀秀网作出行政处罚。

  • 红郭老师复出了?戴面具+变声器伪装 钻漏洞或继续被全网封停

    今年9月2日,全网粉丝数量近千万的头部网红郭老师”被多个平台永久封禁”,封号原因为不符合社区规范”。当时有业内人士认为,郭老师”被封应是各大平台针对国家广电总局发布的《进一步加强文艺节目及其人员管理的通知》所做出的反应。该通知称,坚决抵制泛娱乐化。坚决抵制炒作炫富享乐、绯闻隐私、负面热点、低俗网红、无底线审丑等泛娱乐化倾向。”而郭老师”在网络出道后,经常在直播中语出惊人、怪态频出,被认为是依靠审丑”

  • Chartbeat:本周Facebook宕机后 新闻网站的流量大幅增加

    据外媒报道,Chartbeat的一项新分析发现,当 Facebook 本周出现宕机时,新闻网站的流量增加了。2018年8月3日,Facebook宕机45分钟。与本周的故障相比,这只是一个小故障:10月4日,Facebook、Instagram和WhatsAppk曾宕机近6小时。三年前,Chartbeat的Josh Schwartz曾写道,45分钟的Facebook故障足以让人们去其他平台阅读新闻。那么这次发生了什么?根据Chartbeat本周提供的来自60个国家的数千家出版商客户的数据,在长达5个多小时?

这篇文章对你有价值吗?

  • 热门标签