安全研究人员：AirTag的“丢失模式”存在漏洞 可能被用于骗取账号密码

网络安全博客Krebsonsecurity报道称，AirTag的丢失模式，有可能会被滥用于网络钓鱼诈骗。

AirTag是苹果公司制作的物品防丢追踪器，在丢失之后，用户可以将其设置为“丢失模式”，此时别人捡到，可以用任何带有NFC功能的手机扫描，之后弹出网页显示原主人设置的联系信息。

这个界面可能被不法分子利用

因为要更多人看到，这条丢失信息是网页版本，它会为https：//found.apple.com生成一个URL。任何扫描AirTag的人都会自动跳转到带有所有者联系信息的URL，无需登录或个人信息就可以查看这个页面。

Krebsonsecurity称，“丢失模式”并不能阻止有人向电话号码字段中注入代码，因此，扫描AirTag的人可能会被重定向到假冒的iCloud页面，或其他恶意网站。被诱骗登陆窃取其账号，甚至重定向某个试图下载恶意软件的链接。

AirTag这个漏洞是由安全顾问Bobby Raunch发现的，他告诉KrebsOnSecurity，这个漏洞可能让AirTag变得很危险。他认为这样低成本的小型消费产品可能被不法分子当作攻击的工具。

Raunch在6月20日联系了苹果，苹果花了几个月的时间进行调查。在上周四告诉劳赫，将在即将发布的更新中解决这一问题，并请求他不要在公开场合谈论这一问题。

但因为苹果没有回复他是否有资格参加漏洞奖励计划，所以他或许感到被冷落了，决定分享这个漏洞的细节。

2019年，苹果向公众开放了安全赏金计划，以鼓励研究人员向官方提交其系统的安全漏洞。苹果希望此举能够确保自家软件平台的安全性。但一些安全研究人员称，他们在今年3~5月期间向苹果上报了四个零日漏洞。目前只有一个得到修复，官方的这一态度，让他们觉得沮丧。

来源：36氪