El error de Apple Airtag permite el ataque del ‘buen samaritano’ – Krebs on Safety


Los nuevos $ 30 Airtag dispositivo de seguimiento de manzana tiene una función que permite a cualquiera que encuentre una de estas pequeñas balizas de ubicación escanearla con un teléfono móvil y descubrir el número de teléfono de su propietario si el Airtag se ha configurado en modo perdido. Pero según una nueva investigación, se puede abusar de esta misma función para redirigir al Buen Samaritano a una página de phishing de iCloud, oa cualquier otro sitio website malicioso.

El «Modo Perdido» de Airtag permite a los usuarios alertar a Apple cuando falta un Airtag. Configurarlo en Modo Perdido genera una URL única en https://discovered.apple.com y permite al usuario ingresar un mensaje particular y un número de teléfono de contacto. Cualquiera que encuentre el Airtag y lo escanee con un teléfono Apple o Android verá inmediatamente esa URL única de Apple con el mensaje del propietario.

Cuando se escanea, un Airtag en modo perdido presentará un mensaje corto pidiendo al buscador que llame al propietario al número de teléfono especificado. Esta información aparece sin pedirle al buscador que inicie sesión o proporcione información personal. Pero es posible que el buen samaritano promedio no sepa esto.

Eso es importante porque el Modo Perdido de Apple actualmente no impide que los usuarios inyecten código de computadora arbitrario en su campo de número de teléfono, como el código que hace que el dispositivo del Buen Samaritano visite una página de inicio de sesión falsa de Apple iCloud.

Un ejemplo de mensaje de «Modo perdido». Imagen: Medio @bobbyrsec

La vulnerabilidad fue descubierta e informada a Apple por Bobby Rauch, consultor de seguridad y probador de penetración con sede en Boston. Rauch le dijo a KrebsOnSecurity que la debilidad de Airtag hace que los dispositivos sean caballos de Troya físicos baratos y posiblemente muy efectivos.

“No puedo recordar otro caso en el que este tipo de pequeños dispositivos de seguimiento de nivel de consumidor a bajo costo como este pudieran convertirse en armas”, dijo Rauch.

Considere el escenario en el que un atacante deja caer una unidad flash USB cargada de malware en el estacionamiento de una empresa a la que quiere piratear. Lo más possible es que, tarde o temprano, algún empleado recoja ese imbécil y lo conecte a una computadora, solo para ver qué hay en él (la unidad podría incluso estar etiquetada como algo tentador, como «Salarios de los empleados»).

Si esto suena como un guión de una película de James Bond, no está lejos de la realidad. Una memoria USB con malware es muy probable que los hackers cibernéticos de EE. UU. E Israel se hayan hecho famosos Gusano Stuxnet en la crimson interna con espacio de aire que impulsó las instalaciones de enriquecimiento nuclear de Irán hace una década. En 2008, un ciberataque descrito En ese momento, «la peor violación de las computadoras militares de EE. UU. en la historia» se remontaba a una unidad flash USB dejada en el estacionamiento de una instalación del Departamento de Defensa de EE. UU.

En el relato moderno de esta travesura, un dispositivo de rastreo Airtag armado podría usarse para redirigir al Buen Samaritano a una página de phishing, o a un sitio web que intenta imponer application malicioso en su dispositivo.

Rauch se puso en contacto con Apple sobre el mistake el 20 de junio, pero durante tres meses cuando preguntó al respecto, la compañía solo dijo que todavía estaba investigando. El jueves pasado, la compañía le envió a Rauch un correo electrónico de seguimiento indicando que planeaban abordar la debilidad en una próxima actualización y, mientras tanto, ¿le importaría no hablar de ello públicamente?

Rauch dijo que Apple nunca reconoció las preguntas básicas que hizo sobre el mistake, como si tenían un cronograma para solucionarlo y, de ser así, si planeaban acreditarlo en el aviso de seguridad adjunto. O si su presentación calificaría para el programa de «recompensas por errores» de Apple, que promete recompensas financieras de hasta $ 1 millón para los investigadores de seguridad que reporten errores de seguridad en los productos de Apple.

Rauch dijo que ha informado de muchas vulnerabilidades de software program a otros proveedores a lo largo de los años, y que la falta de comunicación de Apple lo impulsó para hacer público sus hallazgos – a pesar de que Apple dice que permanecer en silencio sobre un mistake hasta que se solucione es la forma en que los investigadores califican para el reconocimiento en los avisos de seguridad.

«Les dije: ‘Estoy dispuesto a trabajar con ustedes si pueden proporcionar algunos detalles de cuándo planea remediar esto y si habría algún reconocimiento o pago de recompensas por errores'», dijo Rauch, y señaló que le dijo a Apple planeaba publicar sus hallazgos dentro de los 90 días posteriores a la notificación. «Su respuesta fue básicamente: ‘Le agradeceríamos que no filtrara esto'».

La experiencia de Rauch se hace eco de la de otros investigadores entrevistados en un reciente El Correo de Washington artículo sobre lo poco divertido que puede ser informar las vulnerabilidades de seguridad a Apple, una empresa notoriamente reservada. Las quejas más comunes eran que Apple es lento para corregir errores y no siempre paga o reconoce públicamente a los piratas informáticos por sus informes, y que los investigadores a menudo reciben poca o ninguna retroalimentación de la empresa.

El riesgo, por supuesto, es que algunos investigadores pueden decidir que es menos complicado vender sus exploits a corredores de vulnerabilidades o en la red oscura, que a menudo pagan mucho más que los premios de recompensas por errores.

También existe el riesgo de que los investigadores frustrados simplemente publiquen sus hallazgos en línea para que todos los vean y exploten, independientemente de si el proveedor ha lanzado un parche. A principios de esta semana, un investigador de seguridad que united states of america el identificador «illusionofchaos» publicó informes sobre tres vulnerabilidades de día cero en el sistema operativo móvil iOS de Apple, aparentemente debido a la frustración por tratar de trabajar con el programa de recompensas por errores de Apple.

Ars Technica informes que el 19 de julio Apple arregló un error que llusionofchaos informó el 29 de abril, pero que Apple se olvidó de darle crédito en su aviso de seguridad.

«La frustración con este fracaso de Apple en cumplir sus propias promesas llevó a la ilusión del caos a amenazar primero, y luego abandonar públicamente los tres días cero de esta semana», escribió Jim Salter para Ars. “En la ilusión de las propias palabras del caos: ‘Hace diez días pedí una explicación y advertí entonces que haría pública mi investigación si no recibía una explicación. Mi solicitud fue ignorada, así que estoy haciendo lo que dije que haría ‘”.

Rauch dijo que se da cuenta de que el mistake de Airtag que encontró probablemente no sea el problema de seguridad o privacidad más urgente con el que Apple está lidiando en este momento. Pero dijo que tampoco es difícil corregir esta falla en certain, que requiere restricciones adicionales sobre los datos que los usuarios de Airtag pueden ingresar en la configuración del número de teléfono del Modo Perdido.

“Es algo bastante fácil de arreglar”, dijo. «Habiendo dicho eso, imagino que probablemente también quieran averiguar cómo se pasó por alto esto en primer lugar».

Apple no ha respondido a las solicitudes de comentarios.

Actualización, 12:31: Rauch compartió un correo electrónico que muestra que Apple comunicó su intención de corregir el mistake en solo unas horas. antes de – no después – KrebsOnSecurity se acercó a ellos para hacer comentarios. La historia anterior se ha cambiado para reflejar eso.



Enlace a la noticia original