AirTag có thể bị tấn công chuyển hướng đến trang lừa đảo iCloud
Công nghệ - Ngày đăng : 10:31, 30/09/2021
Kể từ khi Apple tung ra AirTag, nó đã nằm trong tầm ngắm của những người ủng hộ quyền riêng tư. Trước đây, một số nhóm đã bày tỏ lo ngại về cách AirTag được sử dụng để theo dõi các nạn nhân lạm dụng gia đình. Một nhà nghiên cứu bảo mật đã chứng minh AirTag có thể được chuyển đổi thành vũ khí giám sát bằng cách tiêm mã độc. Kẻ tấn công có thể thêm mã độc vào trường số điện thoại. Sau khi hoàn tất, họ sẽ đặt nó ở Chế độ mất (Lost Mode).
Để có tác động tối đa, AirTag sẽ được thả vào nơi đông người. Bất cứ ai đó tìm thấy AirTag và quét nó, họ sẽ được chuyển hướng đến một trang web. Trang web xác nhận quyền đăng nhập iCloud giả mạo để giúp người đó báo cáo AirTag bị mất. Apple đã xác nhận lỗ hổng bảo mật và đang tiến hành sửa lỗi.
Các nhà nghiên cứu bảo mật và thợ săn tiền thưởng lỗi thường tiết lộ các lỗ hổng bảo mật sau 90 ngày kể từ ngày báo cáo. Bobby Raunch, một nhà tư vấn bảo mật có trụ sở tại Boston, đã phát hiện lỗ hổng bảo mật này vào tháng 6 năm nay. Ngay sau đó, anh ấy đã báo nó cho Apple. Mới đây, nhà nghiên cứu bảo mật đã công bố lỗ hổng này sau 90 ngày trôi qua kể từ khi báo cáo cho Apple.
Raunch phát hiện ra rằng người ta có thể đưa mã XSS vào trường số điện thoại. Thông thường, khi ai đó tìm thấy một AirTag được gắn vào đồ vật, họ sẽ quét nó bằng điện thoại của mình. Sau khi quét, người đó sẽ thấy chi tiết liên hệ của chủ sở hữu AirTag. Tuy nhiên, trong trường hợp này, chúng sẽ được chuyển hướng đến một trang web độc hại. Nếu không cẩn thận, người tìm thấy sẽ nhập thông tin đăng nhập iCloud của họ vào trang web giả mạo.