Vulnerabilidad en Apple AirTag permite enviar un malware troyano a través de URLs personalizadas

Especialistas en ciberseguridad reportan la detección de una vulnerabilidad en Apple AirTag cuya explotación permitiría a los actores de amenazas encontrar el número telefónico de un usuario objetivo e incluso redirigirlo a un sitio de phishing de iCloud y otras plataformas legítimas.

Al parecer, todo esto se debe al “Modo Perdido” del dispositivo, que permite a los usuarios alertar a Apple cuando se extravía su AirTag. La habilitación de esta función genera una URL única en https://found.apple.com y permite a los usuarios ingresar un mensaje personal y un número de contacto; en estos casos, cualquiera que encuentre un dispositivo AirTag podría escanearlo con un smartphone, encontrando así la URL de Apple.

Esta función está diseñada para que, cuando una persona encuentra un AirTag extraviado, tenga una forma de contactar a su propietario, mostrando para ello su número telefónico y la URL. Estos datos aparecen sin necesidad de que aquella persona que encuentra el dispositivo cumpla algún requisito de autenticación, aunque los actores de amenazas podrían comprometer este proceso con fines maliciosos.

El Modo Perdido no está protegido de ninguna forma, por lo que un usuario malicioso podría inyectar código en los campos de información de esta función y dejar intencionalmente el dispositivo en algún lugar público para hacer que el usuario que lo encuentre visite un sitio web de phishing.

Este error fue reportado por el investigador Bobby Raunch, quien en su publicación describió los Apple AirTag como potenciales caballos de Troya, al alcance de cualquier grupo cibercriminal por menos de $30 USD: “No recuerdo otros casos en los que un simple dispositivo de gama baja pueda convertirse en un arma sofisticada”, agrega el experto.

Aunque este ataque parece algo complejo y depende de muchas variantes y amplia colaboración de la víctima potencial, los actores de amenazas siempre encuentran la forma de hacer atractivas estas carnadas, algo demostrable y en cierta forma común debido a la simplicidad del ataque.

Expertos en ciberseguridad han reportado múltiples casos de infecciones de malware a partir de dispositivos USB encontrados en la calle, centros comerciales, transporte público y oficinas; para estos ataques, los actores de amenazas suelen dejar estos dispositivos con etiquetas como “nómina” o “criptomoneda”, lo que podría resultar atractivo para quien se encuentra con una de estas piezas de hardware.

El ataque AirTag parte de la misma premisa y puede ser un riesgo considerable para la seguridad de cualquier persona. Hasta el momento Apple no se ha pronunciado al respecto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).