蘋果藍牙追蹤器被破解!用戶恐掉入釣魚網站陷阱
蘋果上個月21日舉辦新品發表會,推出「健忘者救星」藍牙追踪器「 AirTag」,但這項新產品已遭德國安全研究人員破解,對於那些撿到追蹤器想還給失主的好心人,這項漏洞可將他們導入釣魚網站或惡意網站,進而騙取個資。
根據蘋果官網說明,當用戶遺失AirTag時,撿到的人可以用iPhone或是有NFC功能的手機碰觸AirTag,系統會連向蘋果的「found.apple.com」網頁啟動「遺失模式」,顯示失主的聯繫資料並發出通知。
不過,德國安全研究員暨YouTuber Stack Smashing在個人推特上示範了AirTag的「不正確利用方式」,吸引多家外媒關注及報導。他的做法是先破解AirTag裡的微控制器,當撿到的人以有NFC功能的手機碰觸AirTag時,連到的不是蘋果官網,而是Smashing自行設定的網站,倘若此漏洞被駭客利用,恐將拾獲AirTag者導入釣魚或詐騙網站,進而騙取個資或帳號密碼。
不過,他也坦言要破解AirTag並不容易,蘋果官方之後也有可能發布系統安全更新補漏,因此用戶只要隨時將手機系統保持在最新版本,並留意找到的AirTag,就能有效降低風險。
蘋果物件追蹤器AirTag被研究人員破解
蘋果甫於4月20日發表全新的物件追蹤器AirTag,但一名德國安全研究人員Thomas Roth本周就將它破解,允許它將使用者導至任何網站。
Roth宣稱他入侵了AirTag的微控制器,該微控制器可透過微處理器、記憶體與其它周邊來控制裝置,儘管這意味著駭客可能可以改造AirTag的功能,但Roth所展示的,是讓AirTag在遺失模式(Lost Mode)下,把協助尋獲AirTag的使用者導至任何網站。
蘋果所設計的AirTag可用來繫在皮包、鑰匙或其它物件上,讓使用者可利用手機的藍牙功能來尋找它,處於藍牙範圍內的AirTag即會發出聲音,若是物件遺失了,離開了手機的藍牙範圍,那麼使用者即可啟用遺失模式,透過全球數十億蘋果裝置的Find My網路來協助尋找。
當有蘋果裝置用戶發現了某個遺失的AirTag時,即可點擊它,並連至一個顯示失主資訊的網址。而,竄改了該網址,將使用者導至一個YouTube網站。
外界非常好奇Roth是如何辦到的,也說該漏洞將可被應用在網釣攻擊,或連至其它惡意網站,惟Roth並未公布他破解AirTag的細節。