AirTagの紛失モード、悪意あるサイトへ誘導する脆弱性

紛失防止タグ「AirTag」には、落としたときのために紛失モードという機能が用意されているが、この機能をフィッシング詐欺に悪用される可能性が指摘されている。AirTagを紛失モードに設定すると、専用のURLが生成され、AirTagの持ち主は連絡先として電話番号またはメールアドレスを登録できる。落としたAirTagを拾った人がNFC対応のスマートフォンで読み取ると、は持ち主の連絡先が分かるURLに誘導される仕組み。このとき、ログインしたり個人情報を入力するといった必要はない（Krebs on Security、Engadget）。

しかし、米セキュリティ情報サイトの「Krebs on Security」によると、この登録可能な連絡先の電話番号フィールドには、任意のコンピュータコードを挿入できる。このため拾った人が偽のiCloudログインページや悪意のあるWebサイトにリダイレクトされてしまう可能性があるそうだ。偽サイトなどに誘導し、AirTagを拾った人のが個人情報を抜かれてしまう可能性があるらしい。　

スラドのコメントを読む | アップルセクション | ハードウェア | セキュリティ | アップル

　関連ストーリー：
Apple 曰く、誤飲防止の苦味コートが施されたコイン型電池は AirTag で使えない可能性がある 2021年07月30日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
楽天モバイルがiPhoneの取り扱いを開始。一部制限も緩和へ 2021年04月27日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日