¿AirTags de Apple como nuevo vector de ataque?

AirTags tiene una vulnerabilidad que puede redirigir a los buscadores honestos a sitios web maliciosos a través de secuencias de comandos entre sitios. Apple ha sabido sobre el problema desde junio y ha anunciado una solución, pero no está claro cuándo llegará. Los investigadores de seguridad están molestos por la reacción de Apple.

Un AirTag que está en modo «Perdido» es vulnerable a un ataque trivial. Eso es lo que descubrió el investigador de seguridad Bobby Rauch. Por ejemplo, si alguien escanea un llavero perdido con un AirTag, generalmente lo llevan a un sitio web de Apple. Allí, la persona propietaria del AirTag puede almacenar información de contacto. De esta manera, un artículo perdido puede encontrar su camino de regreso al propietario.

Sin embargo, si no ingresa un número de teléfono o una dirección de correo electrónico en el campo para la información de contacto, sino un enlace especialmente preparado, tiene la opción de mostrar códigos de otros sitios web en el sitio web de Apple. Este método de ataque se denomina «cross-site scripting». Esto permite llevar a cabo un ataque de phishing que atrapa datos de acceso para cuentas de iCloud o Google, por ejemplo. En realidad, en cada campo de un sitio web que permite la entrada de datos, se debe verificar si los datos son significativos o válidos. Los ataques como las secuencias de comandos entre sitios se basan en el hecho de que dicha comprobación no se realiza en absoluto o no se realiza correctamente. Incluso si estas rutas de ataque son cualquier cosa menos nuevas y se han estado haciendo un nombre una y otra vez durante 20 años, todavía están actualizadas.

Sucede que algo se pasa por alto en sitios web con una gran cantidad de puntos de entrada. Sin embargo, por qué tal verificación no ocurre en una página que tiene solo dos campos de entrada solo debe ser respondida por Apple.
Sin embargo, este error aparentemente trivial a veces tiene graves consecuencias. La historia de la «memoria USB en el estacionamiento» como una forma de ataque ahora se ha convertido en una palabra popular: con AirTags, habría otra forma de usar hardware barato de tal manera que pueda obtener acceso a datos de acceso de terceros. La palanca aquí es la ayuda y la curiosidad de otras personas.

AirTag en modo «Perdido» 

Falta de transparencia

Apple siempre ha sido cualquier cosa menos abierto cuando se trata de manejar vulnerabilidades de seguridad. Si encuentra una vulnerabilidad, ahora puede informarla a Cupertino, pero la experiencia ha demostrado que las respuestas son bastante escasas. Apple introdujo un programa de recompensas por errores muy tarde, cuando se había establecido en otras compañías como Microsoft, Google e incluso Facebook durante años. Y según los informes, el programa de recompensas por errores de Apple Disciples es al menos altamente capaz de optimización y actualmente parece más una hoja de parra de alto perfil, que dice «¡Mira, hacemos algo!», pero no hay mucho detrás. Incluso si las recompensas de hasta un millón de dólares atraen a ciertas vulnerabilidades de seguridad. Por ejemplo, algunos investigadores han reportado vulnerabilidades de seguridad que en realidad estaban calificadas para pagar una prima de acuerdo con las condiciones. Apple había cerrado las brechas reportadas, pero rechazó el pago debido a que supuestamente no cumplía con los criterios en el informe.

Buena idea, ejecución problemática

En teoría, el AirTag es una idea muy buena y también práctica. En la práctica, sin embargo, ha habido problemas con el concepto en el pasado. Las organizaciones de protección de las víctimas, en particular, estaban extremadamente preocupadas por el potencial de uso indebido de los pequeños dispositivos. Con unos 30 euros (más envío), no solo son baratos, sino también fáciles de ocultar debido a su tamaño: un AirTag es solo un poco más grande que una pieza de 2 euros. Acomodado en consecuencia, las (ex)parejas celosas pueden capturar un perfil de movimiento de los demás. Apple se vio obligada a mejorar en algunos lugares. Sin embargo, estos esfuerzos sólo tuvieron un éxito parcial. Los críticos se quejan sobre todo de que un AirTag colocado inadvertidamente a menudo no se hace sentir lo suficientemente temprano por un pitido. Al menos los AirTags desconocidos se pueden desactivar quitando la batería, si alguien los encuentra en una bolsa o chaqueta, por ejemplo.

Silencio en el bosque (de manzanas)

Apple generalmente no comenta cuándo se solucionará exactamente una vulnerabilidad e insta a quienes la informan a permanecer en silencio. A veces pasan meses en los que solo se puede escuchar silencio y máximas declaraciones no vinculantes de California, y en los que una vulnerabilidad de seguridad permanece sin parchear. Cuando se trata de lidiar con vulnerabilidades, la costumbre se ha establecido que los fabricantes tienen 90 días después de informar una vulnerabilidad para proporcionar una solución alternativa o una solución antes de que la persona o el equipo que descubrió la vulnerabilidad la comunique al público, ya sea que esté cerrada o no. El concepto se remonta al «Proyecto Cero» de Google, que ha puesto la proverbial pistola en el pecho de numerosos fabricantes (¡incluida la empresa matriz Google!) al publicar vulnerabilidades sin parchear. Esto aumenta la presión sobre los fabricantes para solucionar los problemas más rápido. Aparentemente, no ves esto particularmente de cerca en Apple. Esto repetidamente causa resentimiento y molestia en la comunidad de seguridad. En este caso, también, el investigador Bobby Rauch ha reventado el cuello después de la persistente disidencia y el silencio del lado de Apple. Primero informó de la vulnerabilidad a Apple en junio. Durante tres meses, Rauch fue detenido con la declaración de que «todavía estaban examinando el caso». A finales de septiembre, fue suficiente para él e hizo públicos sus descubrimientos a pesar de las solicitudes de Apple.

Actualizaciones de firmware silenciosas

Si Apple realiza cambios en el firmware de los AirTags, sucede automáticamente tan pronto como su propio AirTag está cerca. Sin embargo, a diferencia de iOS, no hay opción para iniciar manualmente una actualización de firmware. La versión del firmware tampoco se muestra automáticamente. El firmware actual en el momento de la publicación de este artículo lleva el número de versión 1.0.291, que se distribuyó en agosto, es decir, antes del lanzamiento de la vulnerabilidad por Bobby Rauch. Las notas de la versión no existen. Por lo tanto, no está claro qué cambios ha hecho Apple en un firmware más nuevo. Por lo tanto, no es evidente si la brecha de seguridad descrita aquí se ha cerrado en el futuro. La versión instalada actualmente del firmware se puede ver en las propiedades del AirTag en el «¿Dónde está?» aplicación (ver captura de pantalla). Todo lo que tiene que hacer es tocar el icono de la batería una vez.

Muestre la versión del firmware de AirTag en «¿Dónde está?» Aplicación.

Enlace: ¿Apple AirTags como nuevo vector de ataque? | G DATOS (gdata.de) Blog de GDATA Tim Berghoff