根據(jù) KrebsOnSecurity分享的一份最新安全報告，蘋果允許任何智能手機用戶掃描丟失的 AirTag 以定位所有者的聯(lián)系信息，該功能可能被濫用于網(wǎng)絡(luò)釣魚詐騙。當(dāng)一個 AirTag 被設(shè)置為丟失模式時，它會生成一個 URL“https://found.apple.com”，它讓 AirTag 所有者輸入聯(lián)系電話或電子郵件地址。

任何掃描該 AirTag 的人都會被自動引導(dǎo)到有主人聯(lián)系信息的 URL，查看所提供的聯(lián)系信息不需要登錄或個人信息。

據(jù) KrebsOnSecurity 稱，丟失模式并不能防止用戶在電話號碼字段中注入任意的計算機代碼，因此掃描 AirTag 的人可能會被轉(zhuǎn)到一個虛假的 iCloud 登錄頁面或其他惡意網(wǎng)站。不知道查看 AirTag 的信息不需要個人信息的人，可能會被騙提供他們的 iCloud 登錄信息或其他個人信息，或者被重定向到試圖下載惡意軟件。

這個 AirTag 缺陷是由安全顧問 Bobby Raunch 發(fā)現(xiàn)的，他告訴 KrebsOnSecurity，該漏洞使 AirTags 變得危險。他說：“我不記得還有另一個例子，像這樣低成本的小型消費級追蹤設(shè)備可以被武器化”。

Rauch 于 6 月 20 日聯(lián)系了蘋果公司，蘋果公司花了幾個月時間進行調(diào)查。蘋果上周四告訴羅奇，它將在即將到來的更新中解決這一漏洞，并要求他不要在公開場合談?wù)撨@個問題。

蘋果公司沒有回答他的問題，即他是否會得到獎勵，或者他是否有資格參加漏洞賞金計劃，所以他決定分享這個漏洞的細節(jié)，因為蘋果公司缺乏溝通。

Rauch 說：“我告訴他們，如果你們能提供一些細節(jié)，說明你們計劃何時補救這個問題，以及是否會有任何表彰或漏洞賞金，我愿意與你們合作。但是他們的回應(yīng)基本上都是‘如果你不泄露這個，我們會很感激’”。

上周，安全研究員丹尼斯·托卡雷夫(Denis Tokarev)在蘋果公司忽視他的報告并在幾個月內(nèi)未能修復(fù)這些問題后，公開了幾個零日的 iOS 漏洞。此后，蘋果公司進行了道歉，但該公司因其漏洞賞金計劃和對報告的反應(yīng)遲緩而繼續(xù)受到批評。