Lỗi Lost Mode trên Apple AirTag biến người nhặt của rơi thành nạn nhân lừa đảo

Apple đã điều chỉnh hệ thống Find My của mình để phù hợp với các trình theo dõi AirTag mới và tính dễ sử dụng của chúng. Tuy nhiên, sự tiện lợi này làm dấy lên những lo ngại về quyền riêng tư, chẳng hạn như cách các trình theo dõi có thể được sử dụng để theo dõi mọi người. Thậm chí còn có một lỗ hổng cho phép AirTag bị tấn công và sửa đổi để làm được nhiều việc hơn là chỉ phát thông tin vị trí của nó.

Theo ghi nhận của mình, Apple đã và đang khắc phục những vấn đề này khi chúng xảy ra, nhưng dường như vẫn chưa có dấu hiệu kết thúc đối với các hoạt động khai thác tiềm năng. Điều mới nhất đã được báo cáo bởi Curbs on Security xoay quanh Chế độ thất lạc của AirTag, nơi nó cho phép chủ sở hữu đặt tin nhắn và số liên lạc để gọi trong trường hợp tìm thấy thiết bị theo dõi. Vấn đề là không có bất kỳ kiểm tra bảo mật phần cứng nào trên các link mà người dùng có thể nhấn vào.

Trong tình huống, một tin tặc có thể đã đưa một URL vào trường số điện thoại của Chế độ mất của AirTag. Link đó sẽ hướng người dùng đến một trang độc hại giả dạng trang đăng nhập iCloud. Một người vô tình, nghĩ đến việc làm tốt, nhập thông tin đăng nhập của họ trên trang, cung cấp cho tin tặc một số dữ liệu hấp dẫn để tiếp tục hack, đặc biệt là vì mọi người có xu hướng sử dụng lại mật khẩu trên các dịch vụ.

Báo cáo cũng đề cập đến hành vi của chính Apple trong việc xử lý báo cáo lỗi từ nhà nghiên cứu bảo mật Bobby Rauch. Có những cuộc tranh luận về việc tiết lộ có trách nhiệm về những lỗ hổng như vậy, đặc biệt là sau khi một công ty yêu cầu im lặng về vấn đề này.