in

Tenga cuidado con los Apple AirTags envenenados que aprovechan los errores sin parchear en el «Modo Perdido»


Si tiene la mala suerte de perder su dispositivo de rastreo Apple AirTag o lo que sea que esté conectado, no tema. Los Apple AirTags tienen una función que permite a cualquier persona que encuentre uno escanearlo con su teléfono inteligente y obtener información que incluya el número de teléfono del propietario para que se le pueda devolver su propiedad.

Eso es genial. Pero lo que no es bueno es que la función se puede usar incorrectamente para entregar malware o robar credenciales del ignorante Buen Samaritano que intenta encontrar al verdadero propietario de un AirTag.

El investigador de seguridad y probador de penetración Bobby Rauch reveló detalles de la vulnerabilidad después de no recibir una respuesta adecuada de Apple.

Como describe Rauch, Apple ha ignorado hasta ahora una brecha de seguridad en la funcionalidad «Modo Perdido» de AirTags, que permite a un atacante convertir la información mostrada al escanear el dispositivo de rastreo de ubicación en un arma a través de comunicación de campo cercano (NFC).

Alguien que encuentre un AirTag perdido y lo escanee con su teléfono inteligente será redirigido a una página web en https://found.apple.com que tiene instrucciones personalizadas sobre cómo comunicarse con el propietario del dispositivo.

Sin embargo, Apple no impidió que el propietario de AirTag insertara un script malicioso en el campo del número de teléfono. El código de secuencia de comandos entre sitios pegado en el campo del número de teléfono podría redirigir a los visitantes a una página de inicio de sesión de iCloud falsa o engañar a los usuarios para que descarguen una aplicación maliciosa.

Rauch explica:

“Se pueden llevar a cabo otros exploits XSS, así como secuestro de tokens de sesión, clickjacking y más. Un atacante podría crear AirTags como arma y dejarlos tirados para sacrificar a personas inocentes que simplemente están tratando de ayudar a alguien a encontrar su AirTag perdido «.

En resumen, un pirata informático podría aprovechar la vulnerabilidad para llevar a cabo un ataque equivalente a dejar memorias USB infectadas con malware en el estacionamiento de una empresa en la que quiere ingresar.

Tarde o temprano, alguien encontrará el AirTag e intentará escanearlo para encontrar a su propietario real y, como resultado, sus credenciales podrían ser phishing o infiltración de malware.

Apple aún no ha corregido el error al momento de escribir este artículo, aunque Rauch fue informado al respecto en junio. Hasta que se resuelva el problema, tenga cuidado al escanear AirTags perdidos en caso de que un pirata informático malintencionado intente engañarlo, un buen samaritano, para que filtre sus contraseñas de iCloud o instale malware.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La puerta trasera secreta supuestamente permite que la pandilla de ransomware REvil defraude a sus socios

Los piratas informáticos podrían obligar a los iPhones bloqueados a realizar pagos sin contacto