Una falla de seguridad encontrada en la función”Modo Perdido”de los AirTags de Apple podría generar problemas para aquellos que realmente quieran reunir un AirTag con su propietario, según un investigador de seguridad.
Según lo informado por KrebsOnSecurity , ciberseguridad El consultor Bobby Rauch encontró una vulnerabilidad en el funcionamiento del Modo Perdido de Apple que deja la puerta abierta para que los actores malintencionados”utilicen como armas”AirTags usándolos como”caballos de Troya físicos efectivos”.
El problema parece no ser tanto con el AirTag real, sino más bien con el software que lo rodea, que parece tener un defecto de diseño serio.
Como ya sabrá, escanear un AirTag con cualquier dispositivo compatible con NFC, incluso un teléfono antiguo con Windows, le pedirá a su navegador que abra una página web en found.apple.com para proporcione más detalles sobre el AirTag en cuestión.
Normalmente, esto solo muestra el número de serie del AirTag, que se puede encontrar fácilmente dentro del compartimento de la batería. Sin embargo, cuando alguien coloca su AirTag en”Modo perdido”, también puede mostrar información de contacto, como un número de teléfono, o una dirección de correo electrónico si tiene iOS 15.
Sin embargo, como descubrió Rauch, Apple en realidad, no está haciendo nada para desinfectar o limpiar estos números de teléfono o direcciones de correo electrónico; solo toma lo que ingresa el usuario al habilitar el Modo Perdido y lo muestra en la página web found.apple.com para ese AirTag específico, exactamente como está.
Como resultado, un usuario malintencionado de AirTag podría inyectar un código informático arbitrario en el campo del número de teléfono, un código que podría redirigir el navegador del buscador de la página adecuada de found.apple.com a prácticamente cualquier otro lugar.
No recuerdo otro caso en el que este tipo de pequeños dispositivos de seguimiento de nivel de consumidor a bajo costo como este podrían convertirse en armas.
Bobby Rauch, consultor de ciberseguridad
Esta podría ser una página de inicio de sesión de Apple iCloud falsa como un intento de phishing básico, o incluso una página que intenta enviar software malicioso al dispositivo de destino.
Si bien es de esperar que los dispositivos iOS sean menos vulnerables a tales ataques, vale la pena recordar que cualquier dispositivo con capacidad NFC puede escanear un AirTag, y muchos dispositivos Android no están tan protegidos, especialmente considerando cuántos podrían estar ejecutando versiones mucho más antiguas de Android.
¿Debería preocuparse?
Es función de los consultores de seguridad hacer sonar este tipo de alarmas debido a problemas potenciales y, como resultado, a veces estos pueden parecer más serios de lo que son.
Si bien el escenario pintado por Rauch es absolutamente plausible, hay espacio para el debate sobre cuán práctico es. Ciertamente, los AirTags son dispositivos de bajo costo, pero aún así cuestan lo suficiente como para que parezca poco probable que muchos piratas informáticos estén dispersando docenas de ellos al azar con la esperanza de atrapar a algunos buenos samaritanos desprevenidos.
Sin embargo, lo que es más importante, este problema debería ser bastante sencillo de solucionar para Apple, ya que existe completamente en el back-end. Esta no es una vulnerabilidad en el firmware de AirTag, sino más bien una falla en la página web found.apple.com, que está completamente bajo el control de Apple.
A diferencia de piratear un AirTag real, que es un proceso considerablemente más complejo , el ataque descrito por Rauch no cambia el destino inicial al que AirTag enviará a alguien. Todavía terminarán en found.apple.com antes de que suceda cualquier otra cosa, es solo que los datos maliciosos en el número de teléfono o en el campo de la dirección de correo electrónico podrían, a su vez, llevar al usuario a otro lugar.
En base a eso, la solución debería ser tan simple como Apple asegurándose de que found.apple.com desinfecta los datos que se le envían, eliminando cualquier código arbitrario y asegurándose de que lo que se muestra sea, de hecho , nada más que un número de teléfono o una dirección de correo electrónico.
De hecho, es bastante sorprendente que Apple no haya pensado en esto en primer lugar, ya que la desinfección adecuada de datos es una especie de”Programación básica”. Sin embargo, es de suponer que Apple se contentó con manejar esto en el lado de iOS, donde la aplicación Find My solo acepta direcciones de correo electrónico o números de teléfono con el formato adecuado.
Desafortunadamente, como Rauch descubierto , es posible interceptar la solicitud del Modo Perdido en su camino a los servidores de Apple e inyectar un script HTML XSS malicioso en el número de teléfono.
Un atacante puede ejecutar XSS almacenado en esta página https://found.apple.com, inyectando una carga útil maliciosa en el campo de número de teléfono”Modo perdido”de Airtag. Una víctima creerá que se le está pidiendo que inicie sesión en iCloud para que pueda ponerse en contacto con el propietario del Airtag, cuando en realidad el atacante la ha redirigido a una página de secuestro de credenciales.
Bobby Rauch, consultor de ciberseguridad
Es importante tener en cuenta que esto es aún más complicado que simplemente pegar un código en el campo del número de teléfono. Se requieren herramientas especializadas, lo que lo coloca en el ámbito de los piratas informáticos serios. No es algo que la gente vaya a hacer para bromear con sus amigos.
Una vez más, sin embargo, es cuestionable si valdrá la pena el costo y el esfuerzo de los piratas informáticos para intentar hacer algo así con AirTags. No solo hay un costo tangible para comprar AirTags, sino que también tendrían que asociarlos con una ID de Apple para activar el Modo Perdido en primer lugar. Esto requeriría una cuenta de iCloud desechable en un iPhone”quemador”, ya que cualquier otra cosa podría rastrearse fácilmente hasta ellos.
Luego, tienen que sopesar la probabilidad de que alguien realmente encuentre el AirTag, sabiendo que pueden escanearlo con su teléfono inteligente y ser víctimas de cualquier ataque que tengan en mente.
Por ejemplo, en el caso de un ataque de phishing, el usuario no solo tendría que creer que’Debes proporcionar sus credenciales de inicio de sesión para ayudar a reunir un AirTag perdido con su propietario, pero también estar dispuesto a hacerlo. Muchos pueden simplemente darse por vencidos, pensando que es demasiado complicado.
Un atacante puede crear Airtags armados y dejarlos por ahí, victimizando a personas inocentes que simplemente están tratando de ayudar a una persona a encontrar su Airtag perdido.
Bobby Rauch, consultor de ciberseguridad
De manera similar, un ataque que intente explotar un dispositivo inyectando código malicioso debería aprovechar una vulnerabilidad conocida para una plataforma específica.
Aunque KrebsOnSecurity cita el ejemplo de malware distribuido a través de memorias USB , estos son naturalmente ataques más dirigidos, a menudo con mayores beneficios. Todo el mundo sabe para qué sirve una unidad flash USB, y una persona promedio puede sentirse más fácilmente tentada a conectarla a una computadora por curiosidad, especialmente si se encuentra en el estacionamiento de una empresa con una etiqueta como”Salarios de los empleados”. También es posible hacer mucho más a través de una conexión USB directa a una PC con Windows que a través de un sitio web en un teléfono inteligente iPhone o Android.
Por el contrario, la mayoría de la gente no sabría qué hacer con un AirTag, y es probable que muchos ni siquiera sepan qué es un AirTag en primer lugar.
También existe una mayor probabilidad de que cualquier persona que sepa lo suficiente para escanear una AirTag con su teléfono inteligente no sea engañada tan fácilmente por los intentos de phishing.
¿Por qué no se ha solucionado?
El verdadero misterio aquí, sin embargo, es por qué Apple ha tardado tanto en abordar este problema. Según Rauch, notó a Apple sobre esta vulnerabilidad el 20 de junio, pero durante tres meses solo le dijeron que todavía estaba siendo investigada.
Rauch también agrega que Apple ni siquiera reconoció preguntas básicas sobre el error, como si tenían una línea de tiempo para solucionarlo, o si obtendría una”recompensa por error”por el descubrimiento, o al menos sería acreditado por su nombre en el aviso de seguridad adjunto.
También le dijo a Apple que planeaba hacer públicos sus hallazgos dentro de los 90 días, un plazo bastante estándar para que los investigadores de seguridad les dieran a las empresas tiempo para abordar cualquier problema, sin embargo, afirma que la respuesta que obtuvo fue”Le agradeceríamos que no filtrara esto”.
Rauch reconoció a KrebsOnSecurity que probablemente se trata de un problema de baja prioridad para Apple, pero tampoco sabe por qué no lo ha hecho. Ya se ha solucionado, ya que debería ser bastante sencillo para Apple limitar o limpiar los datos que se envían como números de teléfono o direcciones de correo electrónico al habilitar el Modo Perdido.
Por ahora, es posible que desee tener un poco más de cuidado al escanear AirTags que encuentre al azar, especialmente si encuentra uno que no está asociado a nada de valor. Si bien parece poco probable que los piratas informáticos gasten el dinero necesario para esparcir docenas de AirTags, es aún más exagerado creer que alguien invertiría los recursos para emparejar un AirTag con un artículo costoso solo para capturar la contraseña de iCloud de alguien.
