La función AirTag que permite a cualquier persona con un teléfono inteligente escanear un AirTag perdido para localizar la información de contacto del propietario puede ser objeto de abuso para estafas de phishing, según un nuevo informe compartido por KrebsOnSecurity.
Cuando un AirTag se configura en modo perdido, genera una URL para https://found.apple.com y le permite al propietario del AirTag ingresar un número de teléfono de contacto o una dirección de correo electrónico. Cualquiera que escanee ese AirTag se redirige automáticamente a la URL con la información de contacto del propietario, sin necesidad de iniciar sesión o información personal para ver los datos de contacto proporcionados.
Según KrebsOnSecurity, el Modo Perdido no evita que los usuarios inyecten código de computadora arbitrario en el campo del número de teléfono, por lo que una persona que escanea un AirTag puede ser redirigida a una página de inicio de sesión de iCloud falsa u otro sitio malicioso. Alguien que no sepa que no se requiere información personal para ver la información de un AirTag podría ser engañado para que proporcione su inicio de sesión de iCloud u otros detalles personales, o la redirección podría intentar descargar software malicioso.
La falla de AirTag fue encontrada por el consultor de seguridad Bobby Raunch, quien le dijo a KrebsOnSecurity que la vulnerabilidad hace que AirTags sea peligroso. “No puedo recordar otro caso en el que este tipo de pequeños dispositivos de seguimiento de nivel de consumidor a un bajo costo como este podrían convertirse en armas”, dijo.
Rauch se puso en contacto con Apple el 20 de junio y Apple tardó varios meses en investigar. Apple le dijo a Rauch el jueves pasado que abordaría la debilidad en una próxima actualización y le pidió que no hablara de ello en público.
Apple no respondió a sus preguntas sobre si recibiría crédito o si calificaba para el programa de recompensas por errores, por lo que decidió compartir detalles sobre la vulnerabilidad debido a la falta de comunicación de Apple.
“Les dije: ‘Estoy dispuesto a trabajar con ustedes si pueden proporcionar algunos detalles de cuándo planea remediar esto y si habría algún reconocimiento o pago de recompensas por errores'”, dijo Rauch, y señaló que le dijo a Apple planeaba publicar sus hallazgos dentro de los 90 días posteriores a la notificación. “Su respuesta fue básicamente, ‘Le agradeceríamos que no filtrara esto'”.
La semana pasada, el investigador de seguridad Denis Tokarev hizo públicas varias vulnerabilidades de iOS de día cero después de que Apple ignorara sus informes y no solucionara los problemas durante varios meses. Desde entonces, Apple se ha disculpado, pero la compañía continúa recibiendo críticas por su programa de recompensas por errores y la lentitud con la que responde a los informes.
