安全研究人员:AirTag的“丢失模式”存在漏洞 可能被用于骗取账号密码

科技
11阅读

网络安全博客Krebsonsecurity报道称,AirTag的丢失模式,有可能会被滥用于网络钓鱼诈骗。

AirTag是苹果公司制作的物品防丢追踪器,在丢失之后,用户可以将其设置为“丢失模式”,此时别人捡到,可以用任何带有NFC功能的手机扫描,之后弹出网页显示原主人设置的联系信息。

这个界面可能被不法分子利用

因为要更多人看到,这条丢失信息是网页版本,它会为https://found.apple.com生成一个URL。任何扫描AirTag的人都会自动跳转到带有所有者联系信息的URL,无需登录或个人信息就可以查看这个页面。

Krebsonsecurity称,“丢失模式”并不能阻止有人向电话号码字段中注入代码,因此,扫描AirTag的人可能会被重定向到假冒的iCloud页面,或其他恶意网站。被诱骗登陆窃取其账号,甚至重定向某个试图下载恶意软件的链接。

AirTag这个漏洞是由安全顾问Bobby Raunch发现的,他告诉KrebsOnSecurity,这个漏洞可能让AirTag变得很危险。他认为这样低成本的小型消费产品可能被不法分子当作攻击的工具。

Raunch在6月20日联系了苹果,苹果花了几个月的时间进行调查。在上周四告诉劳赫,将在即将发布的更新中解决这一问题,并请求他不要在公开场合谈论这一问题。

但因为苹果没有回复他是否有资格参加漏洞奖励计划,所以他或许感到被冷落了,决定分享这个漏洞的细节。

2019年,苹果向公众开放了安全赏金计划,以鼓励研究人员向官方提交其系统的安全漏洞。苹果希望此举能够确保自家软件平台的安全性。但一些安全研究人员称,他们在今年3~5月期间向苹果上报了四个零日漏洞。目前只有一个得到修复,官方的这一态度,让他们觉得沮丧。

来源:36氪

the end
免责声明:本文不代表本站的观点和立场,如有侵权请联系本站删除!本站仅提供信息存储空间服务。