AirTag存在漏洞,安全研究員抱怨蘋果行動遲緩、反饋消極
編輯:左右裡
AirTag是蘋果在今年春季新品釋出會上推出的一款用於物品找回的藍芽跟蹤裝置。只要將AirTag與物品放在一起,物品丟失時就可通過“查詢”應用定位追蹤AirTag位置,進而找回失物。
“
近日,安全研究員Bobby Rauch披露了AirTag的一個安全漏洞,該漏洞源於AirTag的“丟失模式“功能。當使用”查詢“應用無法找到丟失的AirTag時,此功能可幫助撿到AirTag的好心人送回失物——該功能啟用後,路人可以用具有NFC功能的裝置掃描該AirTag並讀取所有者的電話號碼。
但Bobby Rauch發現,蘋果並沒有限制使用者往其電話號碼欄位中注入任意程式碼,這就代表著不知情的好心腸路人有可能會被引導向惡意網站。
研究人員解釋說,可以利用這一點注入惡意有效載荷,重定向至使用鍵盤記錄器竊取使用者敏感憑據的網路釣魚網站,還可以部署其他XSS漏洞,比如令牌劫持和點選劫持。
Bobby Rauch在6月20日向蘋果通報了這一漏洞,並表示他計劃在90天內按照常規的漏洞披露協議公開這些資訊。自那以後,蘋果除了稱公司仍在調查這一Bug外,幾乎沒有給他任何回應。
上週四,在90天披露保護期滿5天后,蘋果聯絡了Bobby Rauch,表示將在下次的更新補丁中解決這一問題,並要求他不要公開談論這個Bug。Bobby Rauch說,蘋果沒有回答有關解決方案的進展情況,也沒有評價這個Bug是否有資格通過蘋果的Bug賞金計劃獲得賠付。
因此,Bobby Rauch公開抗議蘋果缺乏溝通。其他一些安全研究員也對向蘋果報告安全漏洞得到的反饋表示失望,比如Denis Tokarev。Denis Tokarev說他發現並報告了蘋果的四個漏洞,但只有一個漏洞被修復。那次事件中蘋果最後為延誤道歉,並表示仍在調查上報的問題。
資訊來源:krebsonsecurity
轉載請註明出處和本文連結
推薦文章++++
﹀
﹀
﹀
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com
相關文章
- 蘋果裝置被曝存在PEAP認證漏洞 研究人員對官方修復方案存疑蘋果
- [BUG反饋]分類授權漏洞
- 遊戲模型研究:預測與反饋遊戲模型
- 荷蘭或將向勒索攻擊宣戰;蘋果 AirTag 存在儲存型XSS漏洞,恐被攻擊者利用蘋果AI
- 怎樣應對伺服器反應遲緩問題伺服器
- [BUG反饋]非管理員不能訪問模型頁面模型
- 【阿里聚安全·安全週刊】Intel晶片級安全漏洞事件|macOS存在漏洞阿里Intel晶片事件Mac
- 呼叫System.exit()存在安全漏洞
- 移動應用 Bug 快速反饋神器
- [BUG反饋]手機端會員登入模組報錯
- 反饋工具BIC
- 安全研究人員發現中國網貸App漏洞洩露大量個人資訊APP
- 數十億臺裝置都可能被劫持,研究人員披露藍芽架構存在漏洞藍芽架構
- [BUG反饋]模型刪除後,在欄目設定裡依舊存在模型
- [BUG反饋]模型編輯模板存在條件邏輯判斷錯誤模型
- [BUG反饋]非管理員登陸無法訪問模型管理模型
- 蘋果 App 漲價"自動續訂"受吐槽!開發者抱怨新規則太具“任意性”或存在爭議蘋果APP
- 漏洞反饋,使用者授權報錯Integrity constraint violationAI
- window.open()和target= blank存在安全漏洞
- 發現Google Home智慧音響竊聽漏洞,安全研究員獲得107500美元漏洞賞金Go
- 在績效管理過程中,管理者如何對員工進行正確的反饋?
- 安全專家成功山寨AirTag 向蘋果證明可繞過追蹤保護功能AI蘋果
- 蘋果UI設計師談創新原則:注重實時反饋蘋果UI
- 德國醫療巨頭輸液泵存在安全漏洞,邁克菲釋出研究報告
- 極驗2017年度互動安全行業研究報告行業
- [BUG反饋]Markdown不解析
- [BUG反饋]文件模型bug模型
- [BUG反饋]安裝bug?
- Material-UI 使用反饋UI
- web app 觸控反饋WebAPP
- 抱怨驅動開發
- [BUG反饋]會員“最後登入IP”資料無法獲取
- [BUG反饋]管理員後臺“選單管理”無法管理子選單
- [BUG反饋]onethink\ThinkPHP\Library\OT\Database.class.php 問題反饋PHPDatabase
- [BUG反饋]OneThink1.0開發手冊書寫錯誤反饋
- iPod之父:蘋果螢幕時間功能存在很多漏洞和不足蘋果
- [BUG反饋]新建模型竟然不會檢測資料庫是否有該表存在!!!!模型資料庫
- win10老是自動彈出反饋中心如何解決 win10的反饋中心怎麼關閉它Win10