Intentar devolver un AirTag a su dueño podría ser peligroso

Se ha descubierto un fallo de seguridad en los AirTag de Apple. Este permitiría modificar la dirección web a la que redireccionan tras activarse el modo perdido para ser usado como herramienta para lanzar ataques de Phishing. Así que, aún siendo algo que podría afectar a pocos usuarios, es importante que lo conozcas para evitar cualquier posible situación desagradable. Para que realizar la buena acción de intentar devolverlo a su propietario no se convierta en una pesadilla.

Cuidado con los AirTag que encuentres

La utilidad de los AirTag de Apple o de sus alternativas para la localización de objetos perdidos es algo que prácticamente nadie pone en duda a estas alturas de la película. Ya son muchos los ejemplos que hemos visto y han demostrado con diferentes experiencias como de prácticos pueden llegar a ser este tipo de balizas de localización.

En el caso de los AirTag ya hay quien ha conseguido recuperar multitud sus objetos personales perdidos o que no sabían dónde los habían dejado por última vez. También los que han logrado encontrarlos tras ser robados por amantes de lo ajeno e incluso quienes han realizado experimentos tan curiosos como ver el recorrido de un paquete al que se le puso un AirTag.

No obstante, cuando un producto de este tipo ofrece tanto potencia y se convierte en algo con gran calado entre un buen número de usuarios es lógico que se le busquen malos usos. Uno de ellos, además, se puede llevar a cabo por un problema de seguridad que podría poner en riesgo a cualquier usuario que leyese la información que ofrecen cuando se activa el modo perdido.

Según el experto en seguridad Bobby Rauch, el campo de teléfono se puede modificar e introducir una  dirección web con la que ejecutar un intento de phishing.

Y es que, al leer el AirTag con un móvil con NFC se le mandaría a una web para que iniciase sesión de iCloud y así robarle la cuenta.

Cómo funciona el modo perdido de los AirTag

Para evitar ataques de phishing a través del uso de AirTags es importante conocer cómo funcionan, sobre todo cuando se trata de leerlos con tu móvil iOS o Android para devolverlo a su propietario. Porque no sería justo perder tu cuenta y todo lo que ello implica por intentar llevar a cabo una buena acción.

El modo perdido es algo que el usuario configura para el caso de que pierda el AirTag y con él objeto personal al que se lo pego. Cuando se le pierde puede ir a la web de Buscar mi y activar este modo para que emita un sonido y, en el peor de los casos, muestre un mensaje a quien lea la información mediante el uso de su teléfono con tecnología NFC.

Ese mensaje que se puede personalizar mostraría el número de teléfono o incluso una web para conectar con el propietario para devolverle el objeto. Pues bien, según la documentación de Apple, esa información debería ser el número de teléfono y algunos comentarios con indicaciones, pero nunca una web y mucho menos una que pida el inicio de sesión de iCloud.

Apple no pide inicio de sesión en iCloud nunca para contactar con el propietario de un AirTag. Así que este fallo de seguridad y riesgo que implica se soluciona, por ahora, sabiendo que no hay que facilitar ni nombre de usuarios de iCloud ni contraseña.

Apple ya trabaja en la solución

Apple parece que está trabajando es una solución para evitar este tipo de problemas. Lógicamente podrán aparecer otros más, pero por ahora es importante conocer los que ya existen. Sobre todo si eres usuarios de AirTag y quieres ayudar a quien pueda perder algún objeto personal que la use y la tenga cuando lo encuentre.

Vía > Slashgear

¡Sé el primero en comentar!