近日,研究人員 Bobby Rauch 發現 AirTag 存在著安全漏洞,當掃描進入遺失模式時的 AirTag,可被攻擊者將用戶帶到含惡意程式的頁面,從而人侵系統。
AirTag 本身有一個名為遺失模式的功能,原意是 AirTag 擁有者遺失了物件時,iPhone/Android 用戶可透過 NFC 方式掃描 AirTag,從而獲悉用戶的聯絡方法。
遺失模式會在 https://found.apple.com 自動產生一個獨有的 URL 給 AirTag 擁有者,而用戶可輸入一些個人訊息,例如聯絡電話方便拾到物件的人可以聯絡失物主人。
不過,Bobby Rauch 發現輸入電話欄中不會阻止加入代碼,因此看似是電話其實點進去可以轉址到一些含惡意程式碼的網頁。
其實他早在今年 6 月 20 日已將問題告之 Apple,並計劃在 90 天後公開。不過,它只是收到 Apple 表示仍在調查該潛在漏洞。至今仍沒有提出解決方法又或者向 Rauch 致謝,及能否從 Apple 的 Apple Security Bounty 項目取得一些獎金。
當過了 90 天限期的第 5 天時,Apple 聯絡Rauch,表示已確認這漏洞並會稍後透過更新修正問題。
然而,當 Rauch 問及會否得到 Credit 或獎金時,有關人士只表示「沒有將問題對外公開, Apple 會感激他」的回應。而現在 Rauch 選擇將這些事公開,為的是讓更多人了解 Apple 對這問題的處理手法。
