Apple 的失物招领追踪器 AirTag 具有一项功能,可让您通过使用支持 NFC 的智能手机扫描某人掉落的 AirTag 来了解所有者的联系信息。但是,一份安全研究人员报告显示,此功能有可能被用于网络钓鱼。
当 AirTag 设置为丢失模式时,会在站点 (https://found.apple.com) 内创建一个唯一 URL,AirTag 所有者可以在其中输入联系信息,例如电话号码或电子邮件地址。扫描此航空标签的人会被自动引导到该 URL 以了解所有者的联系信息。无需登录或输入个人信息即可查看您的联系人。
根据安全研究团队 KrebsonSecurity 的说法,这种丢失模式无法阻止用户将任意计算机代码放入电话号码字段,因此任何扫描 airtag 的人都会被重定向到伪造的 iCloud 登录页面或其他恶意站点。能够
因此,不知道查看 AirTag 信息不需要个人信息的人可能会被诱骗提供 iCloud 登录信息和其他个人信息,或通过重定向下载恶意软件。
之前已经指出了 AirTag 丢失模式被利用的可能性。但是,这需要一定的技巧,例如需要修改airtag。另一方面,这种方法可能风险更大,因为它只是将代码插入到苹果官方准备好的输入字段中。
此漏洞最初是由安全顾问 (Bobby Raunch) 发现的。他还说,他不记得有任何此类消费微型跟踪设备成为低成本武器的例子。他在 6 月 20 日联系了苹果,表示经过三个月的调查,他终于被要求不要在未来的更新中公开谈论这个漏洞。
不过,苹果并没有回答他是否有资格参加漏洞赏金计划或是否会给他奖励的问题,据说该信息是通过 Krebson Security 共享的。
Krebson Security 表示该漏洞可能会暴露好撒玛利亚人的攻击,使其他人处于危险之中。由于 AirTag 失物招领追踪网络本身依赖于 Apple 产品用户的良好意愿,他们希望 Apple 能够迅速做出反应。相关信息可以在这里找到。
Add comment