Los AirTag son un dispositivo, desarrollado por Apple, que se adhieren a cualquier objeto para facilitar su localización en caso de pérdida. Funcionan enviando una señal Bluetooth, de tipo baliza, al resto de dispositivos de Apple en el alcance. De este modo, la ubicación del dispositivo es actualizada en el servicio en la nube de Apple iCloud.
Estos dispositivos permiten establecer un modo denominado «Modo Perdido». En dicho modo, el Apple AirTag permite introducir un mensaje personal o número de contacto. En caso de ser encontrado y escaneado por otra persona, recibirá dicha información y podrá localizar al propietario del objeto perdido.
El investigador Bobby Rauch contactó el pasado 20 de junio con Apple para reportar una vulnerabilidad en dicho dispositivo. Éste descubrió que a través del número de contacto del «Modo Perdido», se permite introducir cualquier tipo de información, incluso código que sea interpretado por el dispositivo de la persona que lo escanea para redirigirlo hacia una URL fraudulenta. Debido al bajo coste de estos dispositivos, podrían ser usados por un atacante para realizar un ataque de Phishing dirigido, por ejemplo, sobre el portal de inicio de sesión del propio Apple iCloud, o incluso, para descargar software malicioso en el dispositivo de la víctima.
Recientemente, Apple ha contactado con el investigador, indicándole que el fallo de seguridad se encuentra en proceso de corrección. Apple además mencionó en la comunicación con el investigador que la corrección se añadirá en la próxima actualización del dispositivo.
Más información:
KrebsOnSecurity: Apple AirTag Bug Enables ‘Good Samaritan’ Attack
https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/?web_view=true
DigitalTrends: Descubren grave problema de seguridad en los AirTag de Apple
https://es.digitaltrends.com/apple/problema-seguridad-airtag-apple/
SlashGear: Apple AirTag Lost Mode bug turns helpers into phishing victims
https://www.slashgear.com/apple-airtag-lost-mode-bug-turns-helpers-into-phishing-victims-28693075/
Comentarios recientes