設備 Apple 空氣標籤,旨在附加到各種東西以供以後在丟失時檢索,可以輕鬆地將找到它的公民引導到旨在竊取 iCloud 登錄憑據或將任意惡意代碼下載到智能手機的網站。
最初,假設所有者已啟動所謂「遺失模式」的裝置可以使用 iOS 智慧型手機或 Android,之後用戶可以看到主持人的聯絡電話。事實證明,此功能很容易導致網路釣魚頁面或任何其他惡意網站。
啟用“丟失模式”會在找到的域上生成一個唯一的 URL。apple.com 並允許所有者為找到該設備的人輸入個人消息和聯繫電話號碼。
掃描後,理想情況下,該人應該會看到一條短消息,敦促他們打電話。 要查看信息,您無需輸入個人數據或登錄 iCloud,但並非所有人都知道這一點。 此外,AirTag 所有者可以在電話號碼字段中輸入任何代碼。
該漏洞是由波士頓的信息安全專家 Bobby Rauch 發現的,他聯繫了 Apple 希望公司為很久以前發現的漏洞提供獎勵。 該公司回复說,他們將在新的軟件更新中消除它,並要求不要傳播有關檢測到的問題的消息。 據了解,該程序 Apple 規定為發現的漏洞支付高達一百萬美元的費用,但對於相關問題 Apple 謝絕說,“如果你不談論這個漏洞,我們將不勝感激。”
正如 KrebsonSecurity 門戶網站報導的那樣,關於“不敏感”的投訴 Apple 不是第一次出現。 該公司被指控消除漏洞的速度緩慢,而且它並不總是為漏洞的檢測支付獎勵,而且根本不回應有關安全系統中的錯誤和問題的報告。 與此同時,在“暗網”中,也有許多人願意為那些發現可能漏洞的人支付真實的巨額款項。 但是,專家很可能會在不等待反饋和鼓勵的情況下,簡單地在免費訪問中發布信息——這種情況已經發生過。
另請閱讀: