编辑：左右里

AirTag是苹果在今年春季新品发布会上推出的一款用于物品找回的蓝牙跟踪设备。只要将AirTag与物品放在一起，物品丢失时就可通过“查找”应用定位追踪AirTag位置，进而找回失物。

“

近日，安全研究员Bobby Rauch披露了AirTag的一个安全漏洞，该漏洞源于AirTag的“丢失模式“功能。当使用”查找“应用无法找到丢失的AirTag时，此功能可帮助捡到AirTag的好心人送回失物——该功能激活后，路人可以用具有NFC功能的设备扫描该AirTag并读取所有者的电话号码。

但Bobby Rauch发现，苹果并没有限制用户往其电话号码字段中注入任意代码，这就代表着不知情的好心肠路人有可能会被引导向恶意网站。

研究人员解释说，可以利用这一点注入恶意有效载荷，重定向至使用键盘记录器窃取用户敏感凭据的网络钓鱼网站，还可以部署其他XSS漏洞，比如令牌劫持和点击劫持。

Bobby Rauch在6月20日向苹果通报了这一漏洞，并表示他计划在90天内按照常规的漏洞披露协议公开这些信息。自那以后，苹果除了称公司仍在调查这一Bug外，几乎没有给他任何回应。

上周四，在90天披露保护期满5天后，苹果联系了Bobby Rauch，表示将在下次的更新补丁中解决这一问题，并要求他不要公开谈论这个Bug。Bobby Rauch说，苹果没有回答有关解决方案的进展情况，也没有评价这个Bug是否有资格通过苹果的Bug赏金计划获得赔付。

因此，Bobby Rauch公开抗议苹果缺乏沟通。其他一些安全研究员也对向苹果报告安全漏洞得到的反馈表示失望，比如Denis Tokarev。Denis Tokarev说他发现并报告了苹果的四个漏洞，但只有一个漏洞被修复。那次事件中苹果最后为延误道歉，并表示仍在调查上报的问题。

资讯来源：krebsonsecurity

转载请注明出处和本文链接

推荐文章++++

* 新恶意软件可盗取Steam、Epic等多个游戏平台账号

* 微软修复Bug的补丁产生了新的Bug

* 欧盟立法提案，移动设备接口或将统一为USB-C

* 美国制裁加密货币交易所，因其为勒索软件团伙服务

* 自动重置应用权限，谷歌推进Android隐私保护

* 今年已因网恋诈骗损失1.33亿美元，美国杀猪盘也猖獗

* 微软账户登录将不再需要密码

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com