AirTag có thể bị lợi dụng để tấn công Phishing

Phishing là một hình thức tấn công giả mạo không mới, rất nhiều người dùng đã bị đánh cắp các tài khoản mạng xã hội, iCloud... bằng hình thức này. Phổ biến nhất của hình thức Phishing là tạo ra một trang web giả mạo trang web chính thức của một công ty uy tín, ở đây là Apple và lừa bạn nhập thông tin tài khoản và mật khẩu iCloud.

Trong trường hợp của AirTag, kẻ tấn công có thể thêm một đoạn mã vào trường số điện thoại và giả vờ đánh rơi ở nơi đông người. Khi ai đó nhặt được và tiến hành quét chúng, thay vì trả về thông tin số điện thoại của chủ sở hữu thì người nhặt được sẽ được điều hướng đến một trang giả mạo iCloud. Apple đã xác nhận lỗ hổng bảo mật và đang tiến hành sửa lỗi.

Các nhà nghiên cứu bảo mật và thợ săn tiền thưởng lỗi thường tiết lộ các lỗ hổng bảo mật sau 90 ngày kể từ ngày báo cáo. Bobby Raunch, một nhà tư vấn bảo mật có trụ sở tại Boston, đã khai quật lỗ hổng bảo mật vào tháng 6 năm nay. Ngay sau đó, anh ấy đã báo cáo lỗ hổng bảo mật cho Apple. Nhà nghiên cứu bảo mật đã công bố lỗ hổng bảo mật sau 90 ngày kể từ khi báo cáo cho Apple.

Raunch phát hiện ra rằng người ta có thể đưa mã XSS vào trường số điện thoại. Thông thường, khi ai đó tìm thấy một AirTag, họ sẽ quét nó bằng điện thoại của họ. Sau khi quét, người đó sẽ thấy chi tiết liên hệ của chủ sở hữu AirTag. Tuy nhiên, trong trường hợp này, chúng sẽ được chuyển hướng đến một trang web độc hại. Vì vậy, bạn hãy luôn cẩn thận khi đăng nhập vào bất kỳ tài khoản nào nhé.

Xem thêm:

• Apple tung ứng dụng để ngăn AirTag theo dõi người dùng Android

Nguồn: iphonehacks