Desde que supe que Apple estaba tras el proyecto de lanzar el AirTag, pensé que sería un dispositivo un tanto «peligroso» por su facilidad para poder «espiar» a terceras personas. Quizás es por eso por lo que Apple ha tardado tanto tiempo en ponerlo a la venta, buscando la manera de evitarlo mediante software.
Apple ha tenido que modificar iOS para que el iPhone te avise si te han puesto un AirTag «ajeno» escondido en tu coche o en tu bolso. Pero si logran hackear el rastreador para evitar dicho aviso, pueden transformar el llavero de Apple en un potente espía localizador de personas. Sólo han pasado diez días desde su lanzamiento, y ya lo han hackeado. Mal asunto, pues.
Si cuando Apple lanza un nuevo modelo de iPhone, al poco tiempo ya vemos videos en YouTube de usuarios haciéndole todo tipo de «perrerías», para ver lo que «aguanta», el nuevo modelo del año, no podemos esperar otra cosa de un nuevo dispositivo que cuesta 35 Euros en lugar de los mil que cuesta un iPhone.
Si buscas en YouTube ya podrás ver AirTags desmontados, modificados como una tarjeta de crédito, congelados, hervidos como un huevo duro, enviados por correo para seguir la ruta por GPS, etc, etc, etc… Pero hemos encontrado un video, que ya no es tan divertido, sino más bien «inquietante».
AirTag con jailbreak
https://twitter.com/ghidraninja/status/1391165711448518658
El investigador de seguridad alemán Stack Smashing ha publicado un video en Twitter donde muestra como ha sido capar de hackear el microcontrolador de la AirTag y modificar elementos del software interno de rastreo del dispositivo.
Podríamos decir que ha conseguido hacerle un jailbreak al AirTag y modificar su software interno, y así cambiar el comportamiento del dispositivo. Por ejemplo, el investigador de seguridad pudo modificar su URL NFC. En el video, se aprecia el comportamiento de un AirTag original y el suyo ya con jailbreak.
Esperemos que Apple tome nota y pueda «blindar» el acceso al firmware del dispositivo. Si no es así, un AirTag con jailbreak podría convertirse en un dispositivo un tanto «peligroso» para la privacidad de terceras personas, que pueden ser víctimas de un control de su posicionamiento sin su consentimiento.
