Apple tiene serios problemas con sus nuevos dispositivos de rastreo. – AirTag. Estos dispositivos útiles a primera vista pueden convertirse en un punto de propagación de malware malicioso.. Un consultor de seguridad y probador de penetración con sede en Boston, Bob Rauch, ya notificó a la empresa, pero dijo que no parece que sean rápidos en su respuesta.. De acuerdo con él, la debilidad presentada en el dispositivo de seguimiento AirTag permite insertar en el campo del mensaje texto de cualquier contexto. Y puede representar una buena oportunidad para que los piratas informáticos básicamente conviertan el dispositivo de rastreo de Apple en un troyano físico..
¿Es esa cosa pirateable??
El principio de funcionamiento del Air Tag es bastante sencillo., Puedes ponerlo en cualquier cosa que a menudo se pueda perder y nunca temas perderlo.. Si perdiste algo, puede configurar la cosa en "Modo Perdido" y se creará una dirección URL única en https://found.apple.com donde el propietario del artículo perdido puede escribir un mensaje a un posible buscador agregando también un número de teléfono para contactarlo. Y ahí es donde radica el problema: el mensaje aparece sin que el buscador inicie sesión o proporcione información personal. De tal manera, alguien que pueda encontrar este dispositivo de rastreo puede ser redirigido por la persona que perdió intencionalmente su AirTag a un sitio web que intentará instalar malware en su dispositivo, o a la pagina de pesca.
"No puedo recordar otro caso en el que este tipo de pequeños dispositivos de seguimiento de nivel de consumidor a bajo costo como este puedan convertirse en armas,”, Compartió Bob Rauch en una entrevista con KrebsonSecurity..1
Se puso en contacto con Apple el 20 de junio sobre el error que había encontrado.. También preguntó cuándo lo van a arreglar y si obtendrá algún crédito.. Las respuestas fueron solo que la empresa aún está investigando, Ignorando sus preguntas Esto duró unos tres meses y este mes recibió un correo electrónico diciendo que la compañía planea corregir el error en una próxima actualización y que también sería tan amable de permanecer callado hasta entonces.? Rauch, no recibir ninguna respuesta a sus preguntas, decidió hacer públicos sus hallazgos antes de notificar a la compañía que lo hará dentro de 90 dias. Lo hizo a pesar de que Apple afirma en su Apple Security Bounty que para calificar para el programa de "recompensa por errores" de Apple, aquellos que informan sobre los nuevos hallazgos deben guardar silencio hasta que se solucione el error..
Apple es particularmente conocida por sus modales no tan agradables en el manejo de informes de errores y muchos investigadores se quejan de que Apple no siempre paga ni les da reconocimiento público a los investigadores., son lentos para corregir los errores informados y responden con pocas palabras o no responden en absoluto. Muchos especialistas en seguridad cibernética señalan que tal negligencia lleva a que los investigadores simplemente publiquen sus informes en la red oscura, donde pueden obtener mucho más dinero..
