El Apple AirTag se creó para que alguien que lo haya perdido pueda encontrarlo buscando a través de Find My. Apple también ha equipado la etiqueta con el modo de pérdida. Cuando está habilitado, el dispositivo genera una URL especial que lleva el número de teléfono y el correo electrónico de su propietario.
Un nuevo estudio de KrebsOnSecurity ha confirmado que se puede ingresar cualquier código arbitrario en el campo de número de teléfono del modo perdido. Puede redirigir a los usuarios a una página falsa de iCloud o a cualquier otro sitio.
El investigador de vulnerabilidades informó del error a Apple y la compañía le pidió que no difundiera la información a las masas. Sin embargo, han pasado varios meses desde la apelación y Apple no respondió a sus consultas sobre el avance de la investigación para corregir la vulnerabilidad. Por eso, decidió compartir información con los medios.
Para que AirTag lo redireccione a un “sitio malicioso”, debe escanear la etiqueta. Debe tenerse en cuenta que una etiqueta sin código malicioso mostrará inmediatamente los datos proporcionados por su propietario, sin necesidad de iniciar sesión en iCloud o en cualquier otro sitio.
Fuente: MacRumors
