Apple ha reconocido que es consciente de una vulnerabilidad grave que afecta a su rastreador de artículos personales, denominado AirTag. El desagradable error permite a los actores nefastos redirigir a la persona que encuentra y escanea un AirTag perdido a un sitio web de phishing en lugar del de Apple. La compañía ha confirmado que está trabajando en una solución, diciendo que la solución llegará en la próxima actualización de software.
DESTACADOS DE LA HISTORIA:
-AirTag tiene una vulnerabilidad importante que es perfecta para las estafas de phishing
-Convierte el modo perdido del dispositivo en un vector de ataque potencial
-Los atacantes pueden inyectar código fraudulento en el campo de número de teléfono del Modo Perdido
-Escanear un dispositivo de este tipo podría redirigirlo a un sitio web de phishing
-Apple entregará una solución en la próxima actualización, pero no se conoce una fecha
Apple promete arreglar la vulnerabilidad del modo perdido de AirTag
Poner un AirTag en modo perdido a través de la aplicación Find My le permite agregar un mensaje personalizado que la persona que encuentra el accesorio puede revelar en una página web especial en found.apple.com. El mensaje personalizado del propietario al buscador puede incluir su número de teléfono o dirección de correo electrónico. Esta información se muestra al escanear un AirTag perdido con cualquier teléfono inteligente equipado con NFC sin requerir ningún nombre de usuario o contraseña. Leer: Cómo escanear correctamente un AirTag con su teléfono
Pero como ha descubierto KrebsOnSecurity, se podría abusar fácilmente de una supervisión importante en este sistema con fines nefastos, como varias estafas de phishing. Una víctima básicamente confía en que se le pide legítimamente que inicie sesión en iCloud para que pueda ponerse en contacto con el propietario del AirTag, mientras que en realidad sus credenciales están siendo secuestradas.
Un atacante puede crear AirTags armados y dejarlos por ahí, victimizando a personas inocentes que simplemente están tratando de ayudar a una persona a encontrar su Airtag perdido.
La vulnerabilidad también podría aprovecharse para ejecutar ataques como el secuestro de tokens de sesión o el secuestro de clics. Apple ofrecerá una solución en una próxima actualización, pero no se conoce una fecha de lanzamiento.
Cómo funciona la vulnerabilidad del modo perdido de AirTag
KrebsOnSecurity explica que una vulnerabilidad en el sistema de Apple permite a un atacante incrustar código de computadora arbitrario en el campo del número de teléfono. Cuando alguien encuentra un AirTag perdido con un código fraudulento inyectado en el campo del número de teléfono y luego escanea el accesorio, es posible que se lo envíe a un sitio malicioso que podría engañarlo para que proporcione sus credenciales de iCloud.
“No puedo recordar otro caso en el que este tipo de pequeños dispositivos de seguimiento de nivel de consumidor a un bajo costo como este puedan convertirse en armas”, dijo el consultor de seguridad Bobby Raunch. En un intercambio de mensajes por correo electrónico entre Rauch y Apple, la compañía le informó que planeaba abordar la debilidad en una próxima actualización.
Entonces, ¿eso significa que debe mantenerse alejado de los AirTags perdidos con los que pueda tropezar?
Qué hacer si encuentra un AirTag perdido
Si después de escanear un AirTag perdido, lo llevan a una página web que se parece a la página web de inicio de sesión de iCloud o cualquier página web similar que requiera que inicie sesión, debe salir de inmediato.
El escaneo de un AirTag perdido siempre debe abrir una página web en found.apple.com, y esa página no requiere ningún inicio de sesión para revelar información subyacente sobre el AirTag.
Image – idownloadblog