该AIRTAG功能,允许任何人用智能手机扫描丢失AIRTAG找到主人的联系信息可以被滥用于网络钓鱼诈骗。
当 AirTag 设置为丢失模式时,它会为 https://found.apple.com 生成一个 URL,并让 AirTag 所有者输入联系电话号码或电子邮件地址。扫描该 AirTag 的任何人都会被自动定向到包含所有者联系信息的 URL,无需登录或个人信息即可查看所提供的联系方式。
根据 KrebsOnSecurity 的说法,丢失模式不会阻止用户将任意计算机代码注入电话号码字段,因此扫描 AirTag 的人可能会被重定向到虚假的iCloud登录页面或其他恶意站点。不知道查看 AirTag 信息不需要任何个人信息的人可能会被诱骗提供他们的“iCloud”登录信息或其他个人详细信息,或者重定向可能会尝试下载恶意软件。
AirTag 漏洞是由安全顾问 Bobby Raunch 发现的,他告诉 KrebsOnSecurity,该漏洞使AirTags 变得危险。他说:“我不记得还有一个像这样低成本的小型消费级跟踪设备可以武器化的例子。”
Rauch 于 6 月 20 日联系了苹果,苹果花了几个月的时间进行调查。Apple 上周四告诉 Rauch,它将在即将到来的更新中解决这个弱点,并要求他不要在公开场合谈论它。
苹果没有回答他是否会获得信用或他是否有资格参加漏洞赏金计划的问题,因此由于苹果缺乏沟通,他决定分享有关漏洞的详细信息。
“我告诉他们,‘我愿意与你合作,如果你能提供一些关于你计划何时修复这个问题的细节,以及是否会有任何认可或错误赏金支付’,”Rauch 说,并指出他告诉苹果他计划在通知他们后 90 天内公布他的发现。“他们的回答基本上是,’如果你不泄露这个,我们将不胜感激。’”
安全研究员 Denis Tokarev 公开了几个 iOS 零日漏洞,因为苹果公司无视他的报告并且几个月未能解决这些问题。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun70644.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 