in

El error de Apple AirTag habilita el ataque «Good Samaritan» – Krebs on Security


Los nuevos $ 30 AirTag Dispositivo de seguimiento desde manzana tiene una función que permite a cualquier persona que encuentre una de estas pequeñas balizas de ubicación escanearla con un teléfono celular y averiguar el número de teléfono de su propietario si el AirTag se ha puesto en modo de pérdida. Pero una investigación reciente sugiere que la misma función se puede utilizar incorrectamente para redirigir al Buen Samaritano a un sitio de phishing de iCloud, o algún otro sitio web malicioso.

Con el «Modo Perdido» de AirTag, los usuarios pueden notificar a Apple cuando falta un AirTag. Cuando se configura en Modo Perdido, se genera una URL única en https://found.apple.com y el usuario puede ingresar un mensaje personal y un número de teléfono de contacto. Cualquiera que encuentre el AirTag y lo escanee con un teléfono Apple o Android verá inmediatamente esta URL única de Apple con el mensaje del propietario.

Cuando se escanea, un AirTag en modo perdido muestra un mensaje corto pidiendo al buscador que llame al propietario al número de teléfono proporcionado. Esta información se muestra sin pedirle al buscador que inicie sesión o proporcione información personal. Pero es posible que el buen samaritano promedio no sepa esto.

Esto es importante porque el Modo Perdido de Apple actualmente no impide que los usuarios peguen código arbitrario de computadora en el campo de su número de teléfono, como el código que hace que el dispositivo Good Samaritan visite una página de inicio de sesión falsa de Apple iCloud.

Un ejemplo de un mensaje de «Modo perdido». Imagen: Medio @bobbyrsec

La vulnerabilidad fue descubierta e informada a Apple por Bobby Rauch, un asesor de seguridad y probador de penetración con sede en Boston. Rauch le dijo a KrebsOnSecurity que la debilidad de AirTag hace que los dispositivos sean troyanos físicos baratos y potencialmente muy efectivos.

“No puedo pensar en ningún otro caso en el que este tipo de pequeños dispositivos de rastreo de consumidores puedan usarse como un arma a bajo costo como este”, dijo Rauch.

Imagine el escenario en el que un atacante coloca una memoria USB cargada con malware en el estacionamiento de una empresa a la que quiere ingresar. Lo más probable es que, tarde o temprano, un empleado tome esta aspiradora y la conecte a una computadora, solo para ver qué hay en ella (la unidad podría incluso estar etiquetada con algo atractivo, como «salarios de empleados»).

Si esto suena como un guión de una película de James Bond, no estás lejos. Es muy probable que una memoria USB con malware sea la forma en que los piratas cibernéticos estadounidenses e israelíes se infiltraron en el infame gusano Stuxnet en la red interna de aire que alimentaba las instalaciones de enriquecimiento nuclear de Irán hace una década. En 2008, lo que luego se describió como «el peor ataque contra computadoras militares de EE. UU. En la historia» se remonta a una memoria USB que se dejó en el estacionamiento de una instalación del Departamento de Defensa de EE. UU.

En la narrativa moderna de estas travesuras, un dispositivo de rastreo AirTag armado podría usarse para redirigir al Buen Samaritano a una página o sitio web de phishing que esté tratando de contrabandear software malicioso en su dispositivo.

Rauch se puso en contacto con Apple el 20 de junio sobre el error, pero durante tres meses cuando preguntó al respecto, la compañía solo dijo que aún estaba siendo investigado. El jueves pasado, la compañía envió a Rauch un correo electrónico de seguimiento diciendo que iba a solucionar la vulnerabilidad en una próxima actualización, y ¿le importaría no hablar de ello públicamente mientras tanto?

Rauch dijo que Apple nunca confirmó las preguntas básicas que hizo sobre el error, como si tenían un calendario para corregir el error y, de ser así, si querían incluirlo en el aviso de seguridad adjunto. O si su presentación calificaría para el programa «Bug Bounty» de Apple, que promete recompensas financieras de hasta un millón de dólares a los investigadores de seguridad que informan fallas de seguridad en los productos de Apple.

Rauch dijo que ha informado de muchas vulnerabilidades de software a otros proveedores a lo largo de los años, y que la falta de comunicación de Apple lo llevó a llevar sus hallazgos al público, aunque Apple dice que los investigadores no comentarán sobre un error hasta que se solucione.

«Les dije: ‘Estoy listo para trabajar con ustedes si pueden proporcionar algunos detalles sobre cuándo quieren arreglar esto y si habría una apreciación o un pago de recompensa por errores'», dijo Rauch, y señaló que le dijo a Apple tenía previsto publicar sus resultados en un plazo de 90 días a partir de la notificación. «Su respuesta fue básicamente: ‘Le agradeceríamos que no dejara que esto se filtre'».

La experiencia de Rauch refleja la de otros investigadores que fueron entrevistados en una entrevista reciente. El Correo de Washington Artículo sobre lo poco divertido que puede ser informar una violación de seguridad a Apple, una empresa notoriamente reservada. Las quejas más comunes fueron que Apple tarda en corregir errores, que a los piratas informáticos no siempre se les paga o no se les reconoce públicamente por sus informes, y que los investigadores a menudo obtienen poca o ninguna retroalimentación de la empresa.

El riesgo, por supuesto, es que algunos investigadores decidan que es menos complicado vender sus exploits a corredores de vulnerabilidades o en la red oscura, que a menudo pagan mucho más que los precios de recompensa por errores.

También existe el riesgo de que los investigadores frustrados simplemente publiquen sus resultados en línea para que todos los vean y aprovechen, independientemente de si el proveedor ha lanzado un parche. A principios de esta semana, un investigador de seguridad que opera bajo el nombre «Illusionofchaos» publicó atribuciones a tres vulnerabilidades de día cero en el sistema operativo móvil iOS de Apple, aparentemente debido a la frustración de intentar trabajar con el programa de recompensas por errores de Apple.

Ars Technica informa que Apple solucionó un error el 19 de julio que llusionofchaos hizo el 29 de marzo.

«La frustración de que Apple no pudo cumplir sus propias promesas llevó a la ilusión de que el caos se avecinaba primero y luego abandonó públicamente los tres días cero de esa semana», escribió. Jim Salter para Ars. “En las propias palabras de la ilusión del caos: ‘Hace diez días pedí una explicación y advertí en ese momento que si no obtenía una explicación, haría pública mi investigación. Mi solicitud fue ignorada, así que haré lo que prometí ‘».

Rauch dijo que sabe que el error de AirTag que encontró probablemente no sea el problema de seguridad o privacidad más urgente con el que Apple está lidiando actualmente. Sin embargo, dijo que tampoco fue difícil corregir este error en particular, que impone restricciones adicionales a los datos que los usuarios de AirTag pueden ingresar en la configuración del número de teléfono en modo perdido.

«Es una cosa bastante fácil de arreglar», dijo. «Pero puedo imaginar que probablemente también quieran descubrir cómo se pasó por alto esto en primer lugar».

Apple no respondió a las solicitudes de comentarios.

Actualización, 12:31: Rauch compartió un correo electrónico en el que Apple anunció su intención de corregir el error por solo unas horas. antes de – no después – KrebsOnSecurity le pidió un comentario. La historia anterior se ha modificado para reflejar esto.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Estafadores románticos de Texas arrestados por traicionar corazones solitarios de ancianos

Cómo los piratas informáticos, el secreto mejor guardado de la ciberseguridad, pueden ayudar a su empresa a proteger sus activos y mejorar la seguridad