Te lo pensarás antes de escanear un AirTag perdido: descubren un método para piratear cuentas de Apple usando estos dispositivos como cebo

Tras muchos meses de rumores, Apple acabó presentando sus famosos AirTags en abril. Estos minúsculos dispositivos usan la tecnología de banda ultraancha (UWB, por sus siglas en inglés) para que su geolocalización sea precisa incluso en interiores.

El propósito de este dispositivo es que los usuarios puedan emplearlos como llaveros para evitar perder las llaves y la cartera. Si eso sucediera, solo bastaría usar el iPhone para rastrear y encontrar el disco. Pero un especialista en ciberseguridad acaba de descubrir otra funcionalidad mucho más siniestra para estos AirTags.

Cebos. Los AirTags se pueden utilizar como cebos para usuarios de iPhone que con buena fe entiendan que el dispositivo con el que se han cruzado en la calle es un objeto perdido y es necesario informar de su aparición. Bobby Rauch ha sido el especialista que ha detectado esta vulnerabilidad de día cero, es decir, aquella brecha para la que todavía no existe un parche de seguridad.

"No recuerdo ningún caso como este, en el que pequeños dispositivos de consumo y de bajo coste se puedan transformar así en armas", reconoce Rauch en el artículo de su blog en el que pormenoriza su investigación, que también recoge el portal Tom's Guide.

La mecánica es sencilla, lo que hace que esta vulnerabilidad sea particularmente peligrosa. Cuando un usuario encuentra un AirTag perdido, puede escanear el dispositivo con su móvil. Automáticamente se genera una dirección found.apple.com seguida de un código. En la página se detalla tanto el número de serie del AirTag perdido como el número de teléfono de su legítimo dueño, para entregárselo.

Un antiguo trabajador de Apple critica que la opción para que las apps no te rastreen en iPhone es una trampa para dar una falsa sensación de privacidad

El código que se genera en la web found.apple.com (única e intransferible para cada AirTag y usuario) es susceptible de que un ciberdelincuente inyecte código XSS, de tal modo que cuando un tercero escanee el AirTag para devolvérselo a su dueño, esta página podrá estar infectada.

Como el proceso de Apple requiere que los usuarios inicien sesión con su cuenta para ponerse en contacto con el dueño del AirTag, el código XSS inyectado lo que podrá hacer en ese momento es dirigir a la víctima a una página falsa que simule ser el formulario auténtico para iniciar sesión de Apple. En esa página falsa, el criminal solo tendrá que instalar un keylogger para robar las credenciales.

En realidad, para acceder a la página que ofrece un dispositivo AirTag recién encontrado en la calle no hace falta iniciar sesión en Apple. Ofrece automáticamente el teléfono de contacto del legítimo dueño. Pero como explica Rauch, debido a que los AirTags llevan poco tiempo en el mercado, muchos usuarios no serán conscientes de ese matiz.

Lo preocupante de esta historia es que Rauch avisó del error a Apple a mediados de junio. Durante 3 meses esta vulnerabilidad ha estado presente. Según cuenta el propio Rauch al periodista especializado en ciberseguridad Brian Krebs, Apple nunca fue transparente en el proceso, ni destacó con qué margen arreglarían esta vulnerabilidad.

Apple remitió un correo a Rauch hace unos días en el que le confirmaba que iban a remitir pronto un parche de seguridad solucionando este problema. Entre tanto, lo más que había recibido por parte de Apple este especialista en seguridad informática fue un correo agradeciendo la información y pidiéndole que no la filtrara para que ningún criminal la pudiese aprovechar.