據 KrebsOnSecurity 分享的一份新報告稱,蘋果允許任何人使用智能手機掃描丟失的 AirTag,以定位所有者的聯系信息,這一功能可能被濫用,用於網絡釣魚欺詐。
蘋果 AirTag 有一個功能,當設置為丟失模式時,它會為其生成 URL(https://found.apple.com),允許 AirTag 所有者輸入聯系電話號碼或電子郵件地址。掃描該 AirTag 的人可以獲得該信息,從而聯系到失主。
根據 KrebsOnSecurity 的說法,丟失模式可被計算機代碼注入字段,掃描 AirTag 的人可以被重定向到虛假的 iCloud 登錄頁面或其他惡意網站。
安全顧問 Bobby Raunch 發現了 AirTag 漏洞,他告訴 KrebsOnSecurity,該漏洞使 AirTag 變得危險。他說:“我從來沒見過如此簡單的方法,可以低成本地將小型消費級跟蹤設備制作成惡意工具。”
Raunch 在 6 月 20 日聯系了蘋果公司,後者花了幾個月的時間進行調查。蘋果上周四告訴 Raunch,它將在即將發布的更新中解決這個問題,并要求他不要在公開場合談起這件事。