Saltar al contenido

¿Encontraste un Apple AirTag perdido? Puede tener una carga útil maliciosa

septiembre 29, 2021
03mkA9SJwhMIZ1NqrABu6rZ 1.1632911816.fit lim.size 1200x630

Los AirTags son pequeños, livianos y, por lo tanto, bastante fáciles de perder. Pero resulta que la solución de Apple para rastrear un AirTag perdido incluye una falla de seguridad grave.

Cuando Apple lanzó AirTag, un pequeño rastreador con forma de disco, incluyó un «Modo Perdido» en caso de que no pueda localizar su rastreador perdido usando la aplicación Find My. El modo perdido le permite crear un mensaje personalizado que se mostrará cuando otra persona encuentre su AirTag y lo escanee con NFC en un dispositivo iOS o Android. Esto también presenta sus datos de contacto para ayudarlo a reunirse con AirTag.

Como informa KrebsonSecurity, el consultor de seguridad y probador de penetración Bobby Rauch descubrió que el Modo Perdido se puede usar de manera maliciosa. Habilitar el modo perdido genera una página https://found.apple.com única que contiene el número de serie de AirTag, un mensaje personal y un número de teléfono. Sin embargo, debido a una supervisión de seguridad, un usuario malintencionado también puede agregar una carga útil en forma de un script adjunto al campo del número de teléfono.

Se pueden usar una serie de exploits, pero en última instancia, el buen samaritano que recogió el AirTag puede enfrentar la posibilidad de que le roben sus credenciales, por ejemplo, al ser redirigido a una página de inicio de sesión de iCloud clonada lista para recopilar sus datos de inicio de sesión. Si esto le suena familiar, es el equivalente a una memoria USB maliciosa que se cae al suelo (o llega por correo) esperando a que una víctima la recoja y la conecte a una PC.

Recomendado por nuestros editores

Rauch informó sobre la vulnerabilidad a Apple el 20 de junio y le pidieron que no hablara de ella, pero aún no se ha publicado una solución. Desde entonces, Apple le ha confirmado a Rauch que se está trabajando en una solución, pero a través de una combinación de frustración y el deseo de que la gente sea consciente de este riesgo, Rauch decidió compartir los detalles públicamente. Entonces, hasta que Apple solucione este defecto de día cero, esté cansado de recoger y escanear un AirTag «perdido», ya que bien puede ser una trampa esperando a su próxima víctima.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad entregadas directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }

close