Un especialista en seguridad descubrió que el rastreador AirTag se puede usar para piratear dispositivos. Apple ha confirmado este hecho.
Cuando alguien encuentra un AirTag y lo escanea con su dispositivo, se le presenta un sitio elegido por el hacker. Este puede ser un sitio falso de iCloud donde se le pedirá al buscador que complete sus datos para informar del hallazgo.
La vulnerabilidad se descubrió en junio y se informó de inmediato a Apple. El desarrollador que lo descubrió le dio a la empresa 90 días para resolver el problema, por lo que hubo tiempo suficiente.
Sin embargo, Apple no lo logró ni siquiera en 90 días y no dio ningún cronograma. La compañía tampoco prometió el desarrollo de una recompensa monetaria. Por lo tanto, decidió revelar públicamente los datos de vulnerabilidad.
Cómo se puede usar AirTag para piratear
Cuando alguien encuentra un AirTag perdido, puede escanear la baliza con su iPhone o teléfono inteligente Android. Esto muestra el número de teléfono del propietario y lo redirige a https://found.apple.com para alertar al propietario.
Este sitio se puede cambiar.
Un pirata informático puede cambiar el sitio a falso. El usuario pensará que necesita iniciar sesión con sus credenciales de iCloud en el sitio web de Apple para informar la pérdida. De hecho, los datos llegarán al pirata informático y el usuario ni siquiera adivinará nada.
Los piratas informáticos pueden dejar rastreadores en la calle deliberadamente para obtener datos de personas inocentes que quieran ayudar.
El video muestra el exploit en acción. Un usuario experimentado probablemente notará el cambio en el sitio, pero un verdadero pirata informático hará todo lo posible para excluir tal posibilidad.
El exploit se puede usar fácilmente contra personas específicas dejando el AirTag cerca de su casa o automóvil.
Apple prometió corregir la vulnerabilidad, pero no dijo cuándo. Si de repente encuentra el AirTag de otra persona, sepa que no necesita ingresar sus datos para informar una pérdida.
Ver similar
AirTag
