AirTag“丟失模式”存安全漏洞，可能會(huì )被用于網(wǎng)絡(luò )釣魚(yú)詐騙

AirTag丟失模式有風(fēng)險，掃描還得提高警惕。

近日，網(wǎng)絡(luò )安全博客Krebsonsecurity稱(chēng)，AirTag的丟失模式，有可能會(huì )被濫用于網(wǎng)絡(luò )釣魚(yú)詐騙。

據了解，AirTag是今年4月蘋(píng)果春季新品發(fā)布會(huì )上推出的一款藍牙跟蹤設備。當配備AirTag的物品丟失后，用戶(hù)可以將在其他蘋(píng)果設備上將AirTag設置為“丟失模式”。

其他人撿到后，用帶有NFC功能的手機掃描，就能彈出網(wǎng)頁(yè)顯示原主人設置的聯(lián)系信息。

然而，這個(gè)頁(yè)面可能被不法分子利用。

因為蘋(píng)果允許任何支持NFC功能的智能手機用戶(hù)掃描丟失的AirTag，當AirTag 被設置為“丟失模式”時(shí)，它會(huì )生成一個(gè) URL（統一資源定位系統）。

隨后，就會(huì )自動(dòng)跳轉到帶有所有者聯(lián)系信息的URL，無(wú)需登錄或個(gè)人信息就可以查看這個(gè)頁(yè)面。

這個(gè)頁(yè)面很容易被注入代碼，因此，掃描AirTag后，可能會(huì )跳轉到假冒的iCloud頁(yè)面，或其他惡意網(wǎng)站，被誘騙登陸竊取賬號，甚至定向到某個(gè)試圖下載惡意軟件的鏈接。

AirTag這個(gè)漏洞是安全顧問(wèn)Bobby Raunch發(fā)現的。他表示，這個(gè)漏洞可能讓AirTag變得很危險。他認為這樣低成本的小型消費產(chǎn)品可能被不法分子當作攻擊的工具。

6月20日，Raunch聯(lián)系了蘋(píng)果，蘋(píng)果隨后花了幾個(gè)月的時(shí)間進(jìn)行調查。上周四，蘋(píng)果表示會(huì )在即將發(fā)布的更新中解決這一問(wèn)題，并請求其不要在公開(kāi)場(chǎng)合談?wù)撨@一問(wèn)題。

但由于蘋(píng)果并未回復Raunch是否有資格參加安全賞金計劃，所以Raunch決定分享這個(gè)漏洞的細節。

據悉，安全賞金計劃是蘋(píng)果在2019年向公眾開(kāi)放的一項計劃，用來(lái)鼓勵研究人員向官方提交系統的安全漏洞。蘋(píng)果希望此舉能夠確保自家軟件平臺的安全性。

但一些安全研究人員稱(chēng)，他們今年3-5月期間共向蘋(píng)果上報了四個(gè)“零日漏洞”（指被發(fā)現后立即被惡意利用的安全漏洞）。目前只有一個(gè)得到修復，官方的態(tài)度，讓他們覺(jué)得沮喪。

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！