Podle nové zprávy sdílené společností KrebsOnSecurity může být funkce, která umožňuje komukoli se smartphonem naskenovat ztracený AirTag a vyhledat kontaktní informace vlastníka, zneužita k phishingovým podvodům.
Když je AirTag v režimu Ztraceno, generuje URL pro https://found.apple.com a umožňuje majiteli zadat kontaktní telefonní číslo nebo e-mailovou adresu. Každý, kdo naskenuje tento AirTag, je poté automaticky přesměrován na adresu URL s kontaktními údaji majitele, bez nutnosti přihlášení. Podle KrebsOnSecurity, režim Ztraceno nebrání uživatelům ve vkládání libovolného počítačového kódu do pole telefonního čísla, takže osoba, která naskenuje AirTag, může být přesměrována na falešnou přihlašovací stránku na iCloud nebo jiný škodlivý web. Někdo, kdo neví, že k zobrazení informací nejsou vyžadovány žádné osobní údaje, by pak mohl být podveden a poskytl by své přihlašovací údaje do služby iCloud nebo jiné osobní údaje, nebo by byl stažen škodlivý software. Chybu našel bezpečnostní poradce Bobby Raunch, který uvedl, že kvůli této zranitelnosti jsou AirTagy nebezpečné.