AirTag“丢失模式”存安全漏洞:能引导用户跳转到恶意/钓鱼网站
根据 KrebsOnSecurity分享的一份最新安全报告,苹果允许任何智能手机用户扫描丢失的 AirTag 以定位所有者的联系信息,该功能可能被滥用于网络钓鱼诈骗。当一个 AirTag 被设置为丢失模式时,它会生成一个 URL“https://found.apple.com”,它让 AirTag 所有者输入联系电话或电子邮件地址。 任何扫描该 AirTag 的人都会被自动引导到有主人联系信息的 URL,查看所提供的联系信息不需要登录或个人信息。 据 KrebsOnSecurity 称,丢失模式并不能防止用户在电话号码字段中注入任意的计算机代码,因此扫描 AirTag 的人可能会被转到一个虚假的 iCloud 登录页面或其他恶意网站。不知道查看 AirTag 的信息不需要个人信息的人,可能会被骗提供他们的 iCloud 登录信息或其他个人信息,或者被重定向到试图下载恶意软件。 这个 AirTag 缺陷是由安全顾问 Bobby Raunch 发现的,他告诉 KrebsOnSecurity,该漏洞使 AirTags 变得危险。他说:“我不记得还有另一个例子,像这样低成本的小型消费级追踪设备...
