AirTags, con tecnología Bluetooth de Apple Los rastreadores de objetos están diseñados con buenas intenciones: son útiles para adjuntar cosas importantes como llaves y equipaje para ayudarlo a localizarlos. Sin embargo, dichos dispositivos parecen tener una pequeña falla de diseño que podría permitir que una persona sin escrúpulos los use de manera maliciosa.

Bobby Rauch, un tester de penetración e investigador de seguridad, se puso en contacto recientemente con un bloguero de ciberseguridad. Brian Krebs Acerca de un exploit que descubrió que permitiría utilizar rastreadores como un vector potencial para el secuestro de credenciales y el robo de datos. El ataque que explota el método de Apple «Modo perdido» Configurado, puede apuntar a un buen samaritano desprevenido: cualquiera que encuentre un AirTag dejado en un lugar público y quiera que el artículo se devuelva a su propietario correcto.

Cuando desaparecen, los AirTags se pueden rastrear de forma remota a través de Apple Encuentra mi aplicación, pero alguien que encuentre una etiqueta perdida también puede ayudar a devolvérsela a su propietario. Podría ser AirTag escaneado A través del lector NFC del iPhone o Android, y si el AirTag se coloca en el «modo perdidoEsto detectará automáticamente cualquier información de contacto asociada con el dispositivo al buscador. Los propietarios de AirTag pueden configurar esto por Find My Para incluir un número de teléfono o una dirección de correo electrónico y también se puede ingresar un mensaje corto, tal vez algo como «Oye, esto es para mí, por favor refiérase a XYZ». Cuando alguien encuentra y escanea un AirTag, se le pedirá automáticamente en su teléfono que visite una URL única que muestra la información de contacto y el mensaje del propietario. En esencia, es un concepto similar a las placas de identificación, que generalmente vienen con información de contacto sobre dónde devolver el perro perdido.

Sin embargo, si bien esta es una característica bien intencionada, abre al Buen Samaritano a un posible ataque. Esto se debe a que actualmente no hay nada que impida que el propietario de AirTag ingrese un código arbitrario en el campo del número de teléfono del dispositivo. URL. Este código se puede utilizar para enviar una herramienta de búsqueda de AirTag a un sitio de phishing u otra página web maliciosa diseñada para recopilar credenciales o robar su información personal, Rauch Recientemente le dijo a Krebs. En teoría, un rastreador defectuoso podría comprar AirTags con el propósito específico de convertirlos en troyanos maliciosos y luego dejarlos esparcidos hasta que alguien desprevenido los recoja.

Crepes bien merecidos Comparando Ese es el truco clásico en el que el pirata informático deja una unidad flash sin describir en su lugar, generalmente en el estacionamiento de una empresa o en algún otro lugar público. Eventualmente, una persona curiosa y siniestra seleccionará esta unidad USB y la conectará a su computadora, liberando silenciosamente cualquier malware oculto en su interior. Del mismo modo, un mal actor puede dejar AirTags visiblemente con un artículo «faltante» o dos, y simplemente esperar a que alguien lo recoja e intente devolvérselo a su legítimo propietario.

G / O Media puede recibir comisiones

price drop

Galaxy Tab S7 12.4″

Over 50% off from the original list price!
«Best Android Tablet Around» – Gizmodo

Trade-in and get $350 instant credit

Apple has apparently been slow to respond to this issue. Rauch, who discovered the exploit, Informar a Krebs Se había puesto en contacto con la empresa en junio y básicamente lo hicieron estallar. Durante tres meses, los representantes de Apple le dijeron a Rauch que «todavía estaban investigando» sus afirmaciones, pero que no se comprometerían a revelar públicamente el problema ni a decirle si calificaba. programa de recompensas por errores. Finalmente, cuando Rauch se acercó a Krebs el viernes pasado, la compañía finalmente se comunicó con él y le dijo que planea corregir el error en una próxima actualización. También le pidieron que no publicara sus hallazgos.

Sin embargo, Rauch ha hecho precisamente eso ahora, y en el libro su propio blog Esto explica cómo funciona el exploit: «Un atacante puede crear AirTags armados, dejarlos atrás y dañar a personas inocentes simplemente tratando de ayudar a alguien a encontrar un AirTag perdido», escribió.

Nos comunicamos con Apple para comentar sobre todo esto. En el momento de la publicación, no nos habían respondido. Actualizaremos esta historia si responden.