剛發布不到20天,AirTag就被國外安全研究人員“破解”。
據外媒9to5Mac報道,德國安全研究人員 ThomasRoth 在 Twitter 上透露,在損壞多個AirTag之后,他“入侵”了AirTag的微控制器,通過修改AirTag的固件,實現改變AirTag功能的目的。
為了證明實驗的真實性,他還放出了一個已經修改好的NFC URL 的演示視訊,在視訊中,他將常規 AirTag 與破解版 AirTag 進行了比較。破解版 AirTag 可以在彈窗推送中,將其NFC觸發的網址重定向為自己的網頁,
AirTag被破解
4月21日,蘋果開啟了春季新品發布會,發布了AirTag,AirTag搭配U1芯片,能夠實現精確的定位功能,
在官方介紹中,AirTag可設置為“丟失模式”,當“查找”網路中的其他設備偵測到AirTag時,用戶就會自動收到通知,NFC會在二者之間進行通信并在行動電話上自動提示打開蘋果“查找”頁面。如果有路人撿到這款AirTag,在“查找”中就可以獲取物主的資訊以及聯系方式,方便物歸原主。
ThomasRoth的這次測試,意味著破解之后的AirTag,可以將提示打開的“查找”頁面,替換成任何網頁。這些網頁可以是釣魚網站,不法分子可以通過這個漏洞來對撿到AirTag的用戶實施網路詐騙或竊取個人資訊等違法行為。
換句話說,如果用戶不小心點擊了被修改的AirTag的“查找”頁面,可能會被誘導至類似于銀行、支付寶等關乎個人財產的釣魚網站,從而被竊取用戶密碼、身份資訊等重要資料,導致財產損失,
蘋果產品不是第一次被破解
事實上,蘋果產品被破解已經不新鮮,
2020年,多家國外科技網站報道稱,一名來自谷歌公司的資深資訊安全研究員,發現了蘋果行動電話等設備存在重大漏洞,無需接觸你的行動電話就可以獲取你的一切資訊。
安全研究人員稱,該漏洞是基于Apple的AWDL的網路協議,蘋果行動電話等產品都在使用這項協議,利用該漏洞,該研究人員用來6個月的時間成功入侵一臺蘋果行動電話,只需要兩分鐘,就可以訪問行動電話數據,包括照片、瀏覽資訊等,更為關鍵的是,可以打開攝像頭和麥克風進行監視和監聽,
2019年,在拉斯維加斯舉行的美國黑帽大會上,有研究員利用一種特殊的眼鏡原型,鏡片上貼紙黑色膠帶,中間畫著白色的點,用來模仿眼球,當他們把眼鏡戴在受害者臉上時,就可以繞過Face ID的“活體檢測”和“注視感知”功能,從而直接解鎖iPhone。除了解鎖外,還能用于支付轉賬等功能,
2018年,一家名為Grayshift的公司開發了一款“GrayKey”的解鎖工具。用戶能夠同時將兩部iPhone連接到GrayKey上,兩分鐘之后,它就會自動為iPhone安裝上破解密碼的專用軟體,破解密碼所用時長在幾個小時到幾天左右。破解完成后,GrayKey會自動下載iPhone中的所有數據,比如ID資訊、未加密的鑰匙串等,在電腦端,可以對這些數據進行訪問和分析,操作非常簡單。
雷鋒網了解到,針對產品出現的漏洞問題,Apple曾宣布:向全網所有安全領域的研究員提供福利,開放了洞賞金計劃,其金額有150萬美元,目的就是希望能夠發現蘋果系統漏洞的人才。
2020年4月,一位叫Ryan Pickren發現了Apple軟體中多個漏洞,一共有7個漏洞,部分漏洞可以誘騙用戶訪問網站,劫持行動電話和電腦的攝像頭,獲得用戶個人的資料。為此,他獲得了大約53億人民幣的獎勵。
寫在最后
關于此次AirTag被破解一事,Apple尚未發表任何聲明。不過有知情人士表示,這個漏洞“問題不大”,AirTag被盜用的可能性較低,一是因為破解AirTag需要時間和技術成本,二是用戶只要不主動連接陌生AirTag,基本上不會有風險。
也就是說,即便有人修改了AirTag用于非法用途,但仍然需要經過用戶這關。如果用戶撿到失物,在連接AirTag之后,在跳轉的“查找”網頁,沒有發現物主的資訊和聯系方式,那么基本上可以斷定為釣魚網站,用戶無需輸入任何資訊,直接將失物交給警察叔叔即可,
所以說:路邊AirTag不要連,連了就會有風險,陌生鏈接不要點,小心歹人把你騙!
