安全研究员是对 AirTag 漏洞发出警报这可能会让黑客将毫无戒心的用户引向 iCloud 钓鱼页面。

该问题源于 AirTag 的丢失模式，该模式允许找到搁浅的 AirTag 需要采取措施找到它并将其返回给用户。当所有者启用丢失模式时，它可以在专门的found.apple.com 网站上显示电话号码或地址。然而，根据 Bobby Rauch (通过 Krebs on Security），Apple 的丢失模式”不会”目前阻止用户将任意计算机代码注入其电话号码字段”，这可能会导致毫无戒心的 AirTag 检索器访问网络钓鱼网站。

最常见的威胁是添加代码，将用户发送到模仿 Apple iCloud 登录网站的网络钓鱼网站，并诱骗人们输入用户名和密码。该报告将该漏洞与某人找到并插入计算机的”充满恶意软件的 USB 记忆棒”进行了比较：

以现代的方式讲述这一骗局，武器化的 AirTag 跟踪设备可用于将好撒玛利亚人重定向到网络钓鱼页面，或重定向到试图将恶意软件强加到她的设备上的网站。

Rauch 最初于 6 月份发现了该漏洞，他表示”攻击者可以通过无数种方式来攻击发现丢失 AirTag 的最终用户。”他几个月前联系了苹果公司，但声称该公司的研究人员上周才告诉他该漏洞将在即将发布的更新中得到解决。

Apple 的 AirTag 是一种蓝牙跟踪设备，可以使用环或钥匙标签连接到另一台设备。它允许用户在”查找我的”应用程序中跟踪非 Apple 设备，并使用超宽带技术精确定位项目。

劳赫在《安全》杂志上对克雷布斯表示，苹果”缺乏沟通”促使他公开了自己的发现。他还表示，苹果公司要求他保密。另一位安全研究人员最近指责苹果公司修复了 iOS 零日漏洞，但没有将其归功于他。 Apple 提供 高达一百万美元 用于发现其 安全赏金计划。

赞微海报分享