AirTag“丢失模式”存安全漏洞，可能会被用于网络钓鱼诈骗

AirTag丢失模式有风险，扫描还得提高警惕。

近日，网络安全博客Krebsonsecurity称，AirTag的丢失模式，有可能会被滥用于网络钓鱼诈骗。

据了解，AirTag是今年4月苹果春季新品发布会上推出的一款蓝牙跟踪设备。当配备AirTag的物品丢失后，用户可以将在其他苹果设备上将AirTag设置为“丢失模式”。

其他人捡到后，用带有NFC功能的手机扫描，就能弹出网页显示原主人设置的联系信息。

然而，这个页面可能被不法分子利用。

因为苹果允许任何支持NFC功能的智能手机用户扫描丢失的AirTag，当AirTag 被设置为“丢失模式”时，它会生成一个 URL（统一资源定位系统）。

随后，就会自动跳转到带有所有者联系信息的URL，无需登录或个人信息就可以查看这个页面。

这个页面很容易被注入代码，因此，扫描AirTag后，可能会跳转到假冒的iCloud页面，或其他恶意网站，被诱骗登陆窃取账号，甚至定向到某个试图下载恶意软件的链接。

AirTag这个漏洞是安全顾问Bobby Raunch发现的。他表示，这个漏洞可能让AirTag变得很危险。他认为这样低成本的小型消费产品可能被不法分子当作攻击的工具。

6月20日，Raunch联系了苹果，苹果随后花了几个月的时间进行调查。上周四，苹果表示会在即将发布的更新中解决这一问题，并请求其不要在公开场合谈论这一问题。

但由于苹果并未回复Raunch是否有资格参加安全赏金计划，所以Raunch决定分享这个漏洞的细节。

据悉，安全赏金计划是苹果在2019年向公众开放的一项计划，用来鼓励研究人员向官方提交系统的安全漏洞。苹果希望此举能够确保自家软件平台的安全性。

但一些安全研究人员称，他们今年3-5月期间共向苹果上报了四个“零日漏洞”（指被发现后立即被恶意利用的安全漏洞）。目前只有一个得到修复，官方的态度，让他们觉得沮丧。

最后，记得关注微信公众号：镁客网（im2maker），更多干货在等你！