AirTag“丢失模式”存安全漏洞,可能会被用于网络钓鱼诈骗

薛 晨 3年前 (2021-09-29)

AirTag丢失模式有风险,扫描还得提高警惕。

AirTag“丢失模式”存安全漏洞,可能会被用于网络钓鱼诈骗

近日,网络安全博客Krebsonsecurity称,AirTag的丢失模式,有可能会被滥用于网络钓鱼诈骗。

据了解,AirTag是今年4月苹果春季新品发布会上推出的一款蓝牙跟踪设备。当配备AirTag的物品丢失后,用户可以将在其他苹果设备上将AirTag设置为“丢失模式”

AirTag“丢失模式”存安全漏洞,可能会被用于网络钓鱼诈骗

其他人捡到后,用带有NFC功能的手机扫描,就能弹出网页显示原主人设置的联系信息。

然而,这个页面可能被不法分子利用

因为苹果允许任何支持NFC功能的智能手机用户扫描丢失的AirTag,当AirTag 被设置为“丢失模式”时,它会生成一个 URL(统一资源定位系统)。

随后,就会自动跳转到带有所有者联系信息的URL,无需登录或个人信息就可以查看这个页面

AirTag“丢失模式”存安全漏洞,可能会被用于网络钓鱼诈骗

这个页面很容易被注入代码,因此,扫描AirTag后,可能会跳转到假冒的iCloud页面,或其他恶意网站,被诱骗登陆窃取账号,甚至定向到某个试图下载恶意软件的链接

AirTag这个漏洞是安全顾问Bobby Raunch发现的。他表示,这个漏洞可能让AirTag变得很危险。他认为这样低成本的小型消费产品可能被不法分子当作攻击的工具

6月20日,Raunch联系了苹果,苹果随后花了几个月的时间进行调查。上周四,苹果表示会在即将发布的更新中解决这一问题,并请求其不要在公开场合谈论这一问题。

但由于苹果并未回复Raunch是否有资格参加安全赏金计划,所以Raunch决定分享这个漏洞的细节。

据悉,安全赏金计划是苹果在2019年向公众开放的一项计划,用来鼓励研究人员向官方提交系统的安全漏洞。苹果希望此举能够确保自家软件平台的安全性。

AirTag“丢失模式”存安全漏洞,可能会被用于网络钓鱼诈骗

但一些安全研究人员称,他们今年3-5月期间共向苹果上报了四个“零日漏洞”(指被发现后立即被恶意利用的安全漏洞)。目前只有一个得到修复,官方的态度,让他们觉得沮丧

最后,记得关注微信公众号:镁客网(im2maker),更多干货在等你!

镁客网


科技 | 人文 | 行业

微信ID:im2maker
长按识别二维码关注

硬科技产业媒体

关注技术驱动创新

分享到