站长之家(ChinaZ.com)9月29日 消息:根据KrebsOnSecurity发布的新报告,AirTag的丢失功能,允许任何人用智能手机扫描丢失AirTag找到主人的联系信息,并且可以被滥用于网络钓鱼诈骗。
(图源:苹果官网)
当 AirTag 设置为丢失模式时,它会为 https://found.apple.com 生成一个 URL,并让 AirTag所有者输入联系电话号码或电子邮件地址。扫描该 AirTag 的任何人都会被自动定向到包含所有者联系信息的 URL,无需登录或个人信息即可查看所提供的联系方式。
根据 KrebsOnSecurity 的说法,丢失模式不会阻止用户将任意计算机代码注入电话号码字段,因此扫描 AirTag 的人可能会被重定向到虚假的iCloud登录页面或其他恶意站点。因此用户可能会被诱骗到虚假的“iCloud”登录页面或泄露其他个人信息,也可能被欺骗下载恶意软件。
AirTag漏洞是由安全顾问 Bobby Raunch 发现的,他告诉KrebsOnSecurity,该漏洞使AirTags变得危险。Rauch 于6月20日联系了苹果,苹果花了几个月的时间进行调查。苹果上周四告诉 Rauch,它将在即将到来的更新中解决这个弱点,并要求他不要在公开场合谈论它。
苹果没有回答他是否会获得信用或他是否有资格参加漏洞赏金计划的问题,因此由于苹果缺乏沟通,他决定分享有关漏洞的详细信息。
“我告诉他们,‘我愿意与你合作,如果你能提供一些关于你计划何时修复这个问题的细节,以及是否会有任何认可或错误赏金支付’,”Rauch说,并指出他告诉苹果他计划在通知他们后90天内公布他的发现。“他们的回答基本上是,'如果你不泄露这个,我们将不胜感激。'”
上周,安全研究员Denis Tokarev公开了几个 iOS 零日漏洞,因为苹果公司无视他的报告并且几个月都未能解决这些问题。苹果此后道歉,但该公司继续因其漏洞赏金计划和对报告的反应迟缓而受到批评。
