AirTag存在漏洞，安全研究員抱怨蘋果行動遲緩、反饋消極

編輯：左右裡

AirTag是蘋果在今年春季新品釋出會上推出的一款用於物品找回的藍芽跟蹤裝置。只要將AirTag與物品放在一起，物品丟失時就可通過“查詢”應用定位追蹤AirTag位置，進而找回失物。

“

近日，安全研究員Bobby Rauch披露了AirTag的一個安全漏洞，該漏洞源於AirTag的“丟失模式“功能。當使用”查詢“應用無法找到丟失的AirTag時，此功能可幫助撿到AirTag的好心人送回失物——該功能啟用後，路人可以用具有NFC功能的裝置掃描該AirTag並讀取所有者的電話號碼。

 

但Bobby Rauch發現，蘋果並沒有限制使用者往其電話號碼欄位中注入任意程式碼，這就代表著不知情的好心腸路人有可能會被引導向惡意網站。

 

研究人員解釋說，可以利用這一點注入惡意有效載荷，重定向至使用鍵盤記錄器竊取使用者敏感憑據的網路釣魚網站，還可以部署其他XSS漏洞，比如令牌劫持和點選劫持。

 

Bobby Rauch在6月20日向蘋果通報了這一漏洞，並表示他計劃在90天內按照常規的漏洞披露協議公開這些資訊。自那以後，蘋果除了稱公司仍在調查這一Bug外，幾乎沒有給他任何回應。

 

上週四，在90天披露保護期滿5天后，蘋果聯絡了Bobby Rauch，表示將在下次的更新補丁中解決這一問題，並要求他不要公開談論這個Bug。Bobby Rauch說，蘋果沒有回答有關解決方案的進展情況，也沒有評價這個Bug是否有資格通過蘋果的Bug賞金計劃獲得賠付。

 

因此，Bobby Rauch公開抗議蘋果缺乏溝通。其他一些安全研究員也對向蘋果報告安全漏洞得到的反饋表示失望，比如Denis Tokarev。Denis Tokarev說他發現並報告了蘋果的四個漏洞，但只有一個漏洞被修復。那次事件中蘋果最後為延誤道歉，並表示仍在調查上報的問題。

 

資訊來源：krebsonsecurity

轉載請註明出處和本文連結

推薦文章++++

* 新惡意軟體可盜取Steam、Epic等多個遊戲平臺賬號

* 微軟修復Bug的補丁產生了新的Bug

* 歐盟立法提案，移動裝置介面或將統一為USB-C

* 美國製裁加密貨幣交易所，因其為勒索軟體團伙服務

* 自動重置應用許可權，谷歌推進Android隱私保護

* 今年已因網戀詐騙損失1.33億美元，美國殺豬盤也猖獗

* 微軟賬戶登入將不再需要密碼

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com