站長之家（ChinaZ.com）9月29日 消息:根據(jù)KrebsOnSecurity發(fā)布的新報(bào)告，AirTag的丟失功能，允許任何人用智能手機(jī)掃描丟失AirTag找到主人的聯(lián)系信息，并且可以被濫用于網(wǎng)絡(luò)釣魚詐騙。

（圖源：蘋果官網(wǎng)）

當(dāng) AirTag 設(shè)置為丟失模式時(shí)，它會(huì)為 https://found.apple.com 生成一個(gè) URL，并讓 AirTag所有者輸入聯(lián)系電話號碼或電子郵件地址。掃描該 AirTag 的任何人都會(huì)被自動(dòng)定向到包含所有者聯(lián)系信息的 URL，無需登錄或個(gè)人信息即可查看所提供的聯(lián)系方式。

根據(jù) KrebsOnSecurity 的說法，丟失模式不會(huì)阻止用戶將任意計(jì)算機(jī)代碼注入電話號碼字段，因此掃描 AirTag 的人可能會(huì)被重定向到虛假的iCloud登錄頁面或其他惡意站點(diǎn)。因此用戶可能會(huì)被誘騙到虛假的“iCloud”登錄頁面或泄露其他個(gè)人信息，也可能被欺騙下載惡意軟件。

AirTag漏洞是由安全顧問 Bobby Raunch 發(fā)現(xiàn)的，他告訴KrebsOnSecurity，該漏洞使AirTags變得危險(xiǎn)。Rauch 于6月20日聯(lián)系了蘋果，蘋果花了幾個(gè)月的時(shí)間進(jìn)行調(diào)查。蘋果上周四告訴 Rauch，它將在即將到來的更新中解決這個(gè)弱點(diǎn)，并要求他不要在公開場合談?wù)撍?/span>

蘋果沒有回答他是否會(huì)獲得信用或他是否有資格參加漏洞賞金計(jì)劃的問題，因此由于蘋果缺乏溝通，他決定分享有關(guān)漏洞的詳細(xì)信息。

“我告訴他們，‘我愿意與你合作，如果你能提供一些關(guān)于你計(jì)劃何時(shí)修復(fù)這個(gè)問題的細(xì)節(jié)，以及是否會(huì)有任何認(rèn)可或錯(cuò)誤賞金支付’，”Rauch說，并指出他告訴蘋果他計(jì)劃在通知他們后90天內(nèi)公布他的發(fā)現(xiàn)。“他們的回答基本上是，'如果你不泄露這個(gè)，我們將不勝感激。'”

上周，安全研究員Denis Tokarev公開了幾個(gè) iOS 零日漏洞，因?yàn)樘O果公司無視他的報(bào)告并且?guī)讉€(gè)月都未能解決這些問題。蘋果此后道歉，但該公司繼續(xù)因其漏洞賞金計(jì)劃和對報(bào)告的反應(yīng)遲緩而受到批評。

（舉報(bào)）