苹果 AirTag 存在存储型XSS漏洞,恐被攻击者利用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 苹果 AirTag 存在存储型XSS漏洞,恐被攻击者利用

苹果 AirTag 存在存储型XSS漏洞,恐被攻击者利用

小墨安全管家 2021-10-08 20:08 CC防护 89 ℃
DDoS防御

苹果 AirTag 存在存储型XSS漏洞,恐被攻击者利用

Rauch 演示了攻击过程,利用payload将受害者重定向到伪造的 iCloud 登录页面,经过多种方式利用该漏洞,将用户重定向到提供恶意软件的网站。

假如用户把东西放错位置,能够经过AirTag 丢失模式将设备标记为丢失。它将会生成一具唯一的 https://found.apple.com 页面,该页面包含 AirTag信息(即序列号、电话号码和来自物主信息)。

10月1日,安全研究员 Bobby Rauch 在苹果 AirTag 产品中发觉了一具存储型跨站足本攻击漏洞 ,攻击者能够利用该漏洞诱使用户访咨询恶意网站。由于 Apple 没有修复该漏洞,Rauch决定披露该漏洞。

AirTag,CC防御,来源:technologiapc

在专家描述的攻击场景中,攻击者启用 AirTag的“丢失模式”(Lost Mode),并注入恶意payload到电话号码字段。当受害者找到设备并对其举行扫描时,会即将触发恶意payload。

专家表示,“自AirTag公布以来,大多数用户都不懂访咨询 https://found.apple.com 页面全然不需要身份验证。无需挪移设备扫描 AirTag,攻击者能够经过台式机/笔记本电脑共享,将https://found.apple.com 链接用作钓鱼链接。 攻击者还大概经过 Find My 应用程序发起进一步的注入攻击,DDoS防御,该应用程序是苹果‘寻找我的网络’功能的一部分,CC防御, 用于扫描拥有“丢失模式”的挪移设备。”

苹果AirTag 是一种用来充当钥匙寻找器的追踪设备,它关心用户寻找个人物品(例如钥匙、包、服装、小型电子设备、车辆)。

防DDoS


DDoS防御

当前位置:主页 > CC防护 > 苹果 AirTag 存在存储型XSS漏洞,恐被攻击者利用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119