スマートフォンを持っている人なら誰でも、紛失したAirTagをスキャンして所有者の連絡先情報を特定できるAirTag機能が、フィッシング詐欺に悪用される可能性があることが、KrebsOnSecurityがシェアした新しいレポートで明らかになりました

AirTagが紛失モードに設定されると、https://found.apple.com のためのURLが生成され、AirTagの持ち主に連絡先の電話番号やメールアドレスを入力させます

AirTagをスキャンした人は、所有者の連絡先が記載されたURLに自動的に誘導され、提供された連絡先の詳細を見るためのログインや個人情報は必要ありません

KrebsOnSecurityによると、紛失モードは、ユーザーが任意のコンピュータコードを電話番号フィールドに注入することを防止できないため、AirTagをスキャンした人は、偽のiCloudログインページや他の悪意のあるサイトにリダイレクトされる可能性があります

このAirTagの欠陥は、セキュリティコンサルタントのBobby Raunch氏によって発見されたもので、同氏はKrebsOnSecurityに対し、この脆弱性によってAirTagsが危険なものになると述べています

Raunch氏はKrebsOnSecurityの取材に対し、「このような消費者向けの小型トラッキングデバイスが、低コストで武器になり得るという例は記憶にありません」と述べています

Rauch氏は6月20日にAppleに連絡し、Appleは調査に数ヶ月を要しました

Apple社は先週、Rauch氏に次のアップデートでこの弱点に対処すると伝え、公の場でこのことを話さないように求めました

(Via MacRumors.)