
AirTag 重大資安漏洞,一不小心就讓你被「看光光」

一位進行滲透測試的安全顧問 Bobby Rauch 表示,在測試過程中發現 AirTag 的「遺失模式」存有資安上的漏洞,可能會被不法份子用以盜取使用者的帳號、密碼等個資,一不小心就會被人「看光光」。
這個漏洞要從 AirTag 的主要功能說起,它本身就是個定位裝置,不過,當這個定位裝置不見時,還可以透過「遺失模式」來尋找,用戶在 AirTag 上設置自己的電話號碼和訊息,讓撿到 AirTag 的好心人能透過近距離無線通訊(NFC)找到用戶的聯絡方式,不過,漏洞就出現了。
使用遺失模式時,https://found.apple.com 會給用戶一個特有的網址,在這裡可以留下用戶的電話號碼,但是,Rauch 發現輸入電話欄時,並不會阻止加入代碼,不法人士可以利用這點,讓電話欄一點進去就連結到假的 iCloud 頁面,藉此讓撿到 AirTag 的人洩漏自己的帳號密碼。
面對這麼嚴重的資安漏洞,蘋果的態度也很耐人尋味,當 Rauch 將此情況回報給蘋果後,蘋果就聯絡了 Rauch,承諾會快速解決這個問題,但不希望 Rauch 將這個漏洞公開,對於 Rauch 提到的漏洞回報獎勵計劃(bug-bounty program),蘋果也僅表示,沒有把這問題公開,蘋果會感謝他,這樣的模糊說詞讓他很不滿意,所以,Rauch 決定將問題公開,而且也讓大家知道蘋果處理這件事情的方式。
核稿編輯:Mia
延伸閱讀: