「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
Apple 蘋果的防丟神器 AirTag 可以幫助使用者找到自己的錢包、鑰匙…等物品,但是近來卻傳出 AirTag 有漏洞,資安人員 Bobby Rauch 日前公開表示 AirTag 的「遺失模式」有安全漏洞,可能導致拾獲 AirTag 的好心人的 iCloud 帳號密碼外洩。
這次的漏洞是由資安團隊《Curbs on Security》的研究人員 Bobby Rauch 公開揭露。
Bobby Rauch 透露,當 AirTag 不見、原使用者進入設定開啟「Lost Mode 遺失模式」後,系統會產生一個「Find My 尋找」網頁,拾獲 AirTag 的使用者掃描之後就能看到 AirTag 的序號、原使用者的聯絡電話,讓拾獲 AirTag 的人可以物歸原主。
然而,如果遇到有心人在聯絡電話的欄位嵌入儲存型的跨站指令碼(Cross-site Scripting,XSS),就可以將把掃描 AirTag 的尋找網頁導向到另一個「偽裝 iCloud」的登入網頁,藉機偷取使用者的 iCloud 帳號與密碼。
外媒報導指出,Bobby Rauch 發現漏洞後,在 2021 年 6 月主動聯繫 Apple 蘋果,一直到 9 月下旬時 Apple 蘋果才回覆 Bobby Rauch 將在下一次的更新時修復這個漏洞,希望他暫時不要公開漏洞內容。
外媒報導進一步指出,Bobby Rauch 透露由於 Apple 蘋果收到漏洞後遲遲沒有提供修復時間表,也沒回覆發現漏洞的功勞是否歸功於他、Bobby Rauch 能不能拿到獎勵等等,因此才讓 Bobby Rauch 決定公開這次的漏洞,讓使用者們小心防範。
延伸閱讀:
資安人員開發出內建隱藏晶片的 Lighting 連接線,可竊取使用者的密碼等資料
輿論壓力太強大!Apple 蘋果宣布延遲推出 CSAM 兒童保護功能
部落客用樹莓派 DIY 改造升降辦公桌,讓它能在自訂時間排程升降
網路釣魚詐騙盯上 WhatsApp ,但對攻擊 Google Hangouts 興趣缺缺?
圖片及資料來源:Slash Gear、Krebs On Security、Bobbyr Blog