设备 Apple 空气标签,旨在附加到各种东西上,以便在丢失时检索,可以很容易地将找到它的市民引导到一个旨在窃取 iCloud 登录凭据或将任意恶意代码下载到智能手机的网站。
最初,假设所有者已激活所谓“丢失模式”的设备可以使用 iOS 智能手机或 Android,之后用户可以看到主持人的联系电话。事实证明,此功能很容易导致网络钓鱼页面或任何其他恶意站点。
启用“丢失模式”会在找到的域上生成一个唯一的 URL。apple.com 并允许所有者为找到该设备的人输入个人信息和联系电话号码。
扫描后,理想情况下,那个人应该会看到一条短消息,敦促他们打电话。 要查看信息,您无需输入个人数据或登录 iCloud,但并非所有人都知道这一点。 此外,AirTag 所有者可以在电话号码字段中输入任何代码。
该漏洞是由波士顿的信息安全专家 Bobby Rauch 发现的,他联系了 Apple 希望公司为很久以前发现的漏洞提供奖励。 该公司回复说,他们将在新的软件更新中消除它,并要求不要传播检测到的问题。 据了解,该节目 Apple 为发现的漏洞提供高达 万美元的付款,但对于相关问题 Apple 拒绝了,说,“如果你不谈论这个漏洞,我们将不胜感激。”
正如 KrebsonSecurity 门户网站报道的那样,关于“不敏感”的投诉 Apple 不是第一次出现。 该公司被指责消除漏洞的速度缓慢,而且并不总是为漏洞的检测支付奖励,而且根本不对安全系统中的错误和问题报告做出回应。 与此同时,在“暗网”中,有许多人愿意向那些发现可能漏洞的人支付真实而重要的款项。 然而,专家们很可能会在不等待反馈和鼓励的情况下,简单地免费发布信息——这种情况已经发生。
另请阅读: