AirTag丢失模式安全漏洞警示：恶意网址重定向风险与防范指南

安全研究领域近期披露的一则关键报告引发行业关注。 KrebsOnSecurity 指出，苹果 AirTag 的“丢失模式”功能存在潜在安全缺陷，可能成为网络钓鱼攻击的新载体。

该风险根植于 AirTag 丢失模式的核心机制。当用户启用此功能后，设备会生成一个唯一的 URL。失主可通过该链接录入联系电话或邮箱地址，旨在方便拾获者扫描 AirTag 后获取联系方式以归还失物。

然而，KrebsOnSecurity 的分析揭示了该功能的设计漏洞。攻击者可能向联系方式字段注入恶意代码。当他人扫描被篡改的 AirTag 时，其设备浏览器可能不会跳转至预期的联系信息页，而是被重定向至伪造的 iCloud 登录页面或其他恶意站点。这实质上将助人功能异化为一个针对善意行为的欺诈陷阱。

此漏洞由安全顾问 Bobby Raunch 发现。他向 KrebsOnSecurity 强调，该缺陷显著提升了 AirTag 被滥用的风险。“我从未见过能以如此低的成本，将一个消费级追踪设备转化为攻击工具的简易方法。” 他的评估直指漏洞核心：利用门槛低，但潜在影响广泛。

Raunch 已于去年6月20日将问题提交给苹果安全团队。苹果随后进行了深入的内部调查。直至近期，苹果正式确认将在未来的系统更新中修复此漏洞，并请求 Raunch 在修复发布前暂缓公开讨论。从漏洞上报到修复方案确认，整个过程体现了硬件厂商处理安全披露的标准流程与时间框架。

这一事件为物联网设备安全提供了重要警示：在增强设备功能性与用户体验的同时，必须将安全设计置于首位。任何旨在提供便利的功能，若在安全层面存在疏漏，都可能被逆向利用。对于用户而言，在通过扫描与未知设备或标签互动时，保持警觉是基本的安全实践。