Apple ha reconocido que está al tanto de una vulnerabilidad grave que afecta a su rastreador de artículos personales, denominado AirTag. El desagradable error permite a los actores nefastos redirigir a la persona que encuentra y escanea un AirTag perdido a un sitio web de phishing en lugar del de Apple. La compañía ha confirmado que está trabajando en una solución, diciendo que la solución llegará en la próxima actualización de software.
DESTACADOS DE LA HISTORIA:
AirTag tiene una vulnerabilidad importante que es perfecto para estafas de phishing Convierte el modo perdido del dispositivo en un vector de ataque potencial Los atacantes pueden inyectar código falso en el campo de número de teléfono del modo perdido. se conoce
Apple promete arreglar la vulnerabilidad del modo perdido de AirTag
Poner un AirTag en modo perdido a través de la aplicación Find My le permite agregar un mensaje personalizado que la persona que encuentra el accesorio puede revelar en una página web especial en found.apple.com. El mensaje personalizado del propietario al buscador puede incluir su número de teléfono o dirección de correo electrónico. Esta información se muestra al escanear un AirTag perdido con cualquier teléfono inteligente equipado con NFC sin necesidad de iniciar sesión o contraseña. Leer: Cómo escanear correctamente un AirTag con su teléfono
Pero como KrebsOnSecurity ha descubierto que se podría abusar fácilmente de un descuido importante en este sistema con fines nefastos, como varias estafas de phishing. Una víctima básicamente confía en que se le pide legítimamente que inicie sesión en iCloud para que pueda ponerse en contacto con el propietario de AirTag, mientras que en realidad sus credenciales están siendo secuestradas.
Un atacante puede crear AirTags armados y dejarlos por ahí, victimizando a personas inocentes que simplemente están tratando de ayudar a una persona a encontrar su Airtag perdido.
La vulnerabilidad también podría aprovecharse para ejecutar ataques como secuestro de tokens de sesión o clickjacking. Apple ofrecerá una solución en una próxima actualización, pero no se conoce una fecha de lanzamiento.
Cómo funciona la vulnerabilidad del modo perdido de AirTag
KrebsOnSecurity explica que una vulnerabilidad en el sistema de Apple permite a un atacante incrustar código informático arbitrario en el campo del número de teléfono. Cuando alguien encuentra un AirTag perdido con un código fraudulento insertado en el campo del número de teléfono y luego escanea el accesorio, es posible que se lo envíe a un sitio malicioso que podría engañarlo para que proporcione sus credenciales de iCloud.
“No recuerdo otro ejemplo en el que este tipo de pequeños dispositivos de rastreo de nivel de consumidor a un bajo costo como este podrían convertirse en armas ”, dijo el consultor de seguridad Bobby Raunch. En un intercambio de mensajes por correo electrónico entre Rauch y Apple, la compañía le informó que planeaba abordar la debilidad en una próxima actualización.
Entonces, ¿eso significa que debe mantenerse alejado de los AirTags perdidos? con la que puedes tropezar?
Qué hacer si encuentras una AirTag perdida
Si al escanear una AirTag perdida te llevan a una página web que se parece a la página web de inicio de sesión de iCloud o algo similar página web que requiere que inicie sesión, debe salir de inmediato.
Al escanear una AirTag perdida, siempre se debe abrir una página web en found.apple.com , y esa página no requiere ningún inicio de sesión para revelar información subyacente sobre AirTag.