根据KrebsOnSecurity分享的新安全报告,Apple允许任何智能手机用户扫描丢失的AirTag以定位所有者的联系信息,此功能可能会被滥用于网络钓鱼诈骗。当AirTag设置为丢失模式时,它会生成一个URL“https://found.apple.com”,让AirTag所有者输入联系电话或电子邮件地址。扫描AirTag的任何人都会自动定向到包含所有者联系信息的URL,无需登录或个人信息即可查看所提供的联系信息。根据KrebsOnSecurity的说法,丢失模式不会阻止用户将任意计算机代码注入电话号码字段,因此扫描AirTag的人可能会被重定向到虚假的iCloud登录页面或其他恶意网站。不知道个人信息不需要查看AirTag信息的人可能会被诱骗提供他们的iCloud登录信息或其他个人信息,或被重定向以尝试下载恶意软件。AirTag漏洞是由安全顾问BobbyRaunch发现的,他告诉KrebsOnSecurity,该漏洞使AirTags变得危险。“我不记得还有其他像这样的小型低成本消费级跟踪设备可以被武器化的例子,”他说。Rauch在6月20日联系了苹果,苹果花了几个月的时间进行调查。苹果上周四告诉罗奇,它将在即将发布的更新中解决该漏洞,并要求他不要公开谈论这个问题。Apple没有回答他是否会获得奖励或他是否有资格参加漏洞赏金计划的问题,因此由于缺乏与Apple的沟通,他决定分享漏洞的详细信息。“我告诉他们,如果你能提供一些细节,说明你计划何时修复这个问题,以及是否会有任何认可或漏洞赏金,我愿意与你合作,”Rauch说。但他们的回应基本上是‘如果你不透露这个,我们将不胜感激’”。上周,安全研究员DenisTokarev披露了几个iOS零日漏洞,因为Apple无视他的报告并且数月未能修复这些问题。苹果公司已经道歉,但该公司继续因其漏洞赏金计划和对报告的缓慢反应而受到批评。
