Se puede hacer «Phishing» con un AirTag y Apple lo sabe

Encontrar un AirTag perdido con NFC

Desde que se iniciaron los rumores hace un par de años de que Apple tenía previsto lanzar al mercado un rastreador, muchos fuimos los que pensamos que sería un juguetito que podría ser usado con fines un tanto «oscuros», como la localización de una persona sin su consentimiento.

De momento Apple lo ha solucionado, con los avisos que emite iOS 15 en el iPhone de la víctima en caso de que eso ocurra. No me extrañaría un pelo que dentro de un tiempo se le pueda hacer «jailbreak» a un AirTag, y modificar su software interno para evitar esos avisos. Si eso ocurre algún día, tendremos un problema. Mientras tanto, ya se las han inventado para poder hacer «Phishing» con dicho localizador….

Un investigador de seguridad ha demostrado que puedes modificar un AirTags introduciendo un código de programación en el campo del número de teléfono antes de colocarlo en modo Perdido, para que seas redirigido a una web de «Phishing» si encuentras dicho AirTag «malicioso». Apple lo ha confirmado.

Eso significa que cuando alguien encuentre ese AirTag «programado de forma maliciosa» y lo escanee, será redirigido a un sitio web elegido por el atacante, que podría incluir un inicio de sesión falso en iCloud para informar de la búsqueda… Obteniendo así de forma fraudulenta el ID de Apple y la contraseña de la víctima.

Lo preocupante del caso es que el descubridor de dicho agujero de seguridad, Bobby Rauch descubrió la vulnerabilidad en el mes de junio, informó a Apple y le avisó que le daba 90 días antes de revelar públicamente el fallo. Este período de 90 días es una práctica común en el campo de la seguridad, ya que le da a una empresa tiempo suficiente para solucionarlo mediante una actualización del software del dispositivo.

Parece ser que Apple no lo ha solucionado, y al pasar los 90 días, ha publicado su descubrimiento. Los de Cupertino están buscando una solución, pero de momento, esta vulnerabilidad permanece activa. Si encuentras un AirTag extraviado, ten en cuenta que no es necesario iniciar sesión con tu ID de Apple para denunciar su pérdida.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.