Смарт-метки Apple AirTag могут быть использованы для фишинга

Специалист по кибербезопасности Бобби Раух обнаружил уязвимость в функции Lost Mode, которая позволяет вернуть найденный Apple AirTag владельцу. Активировав «режим пропажи», нашедший гаджет мог отсканировать трекер с помощью NFC и прочитать сообщение владельца со ссылкой на его контактные данные.

По данным Рауха, злоумышленники могут использовать эксплойт Stored XSS для перенаправления пользователя на фишинговый сайт. С помощью кейлоггера это может помочь украсть конфиденциальные данные. Раух сообщил об уязвимости компании 20 июня с уловием, что обнародует информацию, если в течение 90 дней Apple не предпримет никаких мер. Представители компании пообещали устранить уязвимость в очередном обновлении.