AirTags phishing

Los AirTags de Apple son uno de esos productos estrella de la compañía que dan sentido al paradigma de ecosistema.

La idea, como ya expliqué en su día, es utilizarlos para evitar perder algunos de esos chismes que llevamos habitualmente encima, como pueden ser las llaves o nuestra mochila.

Pero tienen sus limitaciones, y por eso Apple ha estado rápida en desvincular su uso del que muchos usuarios esperaban darle: para saber dónde estaba su mascota y/o un familiar.

Simple y llanamente, no están diseñados para este cometido.

Cuando la vida de alguien depende de que encuentres o no rápido a dicha persona o animal, hay gadgets muchísimo mejor preparados para ello, como los que ofrecen por España los chicos de Neki, a los que les dediqué también otra pieza.

Hoy vengo con otra de esas ideas locas que recientemente el investigador Bobby Rauch ha demostrado (EN) que es posible llevar a cabo, transformando este aparentemente inocuo dispositivo, en una arma para atacar masivamente a terceros.

Me explico.

Cómo funciona el sistema de AirTag Perdido

Como ya explicamos por estos lares, cuando perdemos un dispositivo asociado a un AirTag, debemos marcarlo como perdido en nuestra app, y a partir de entonces, el AirTag enviará una señal a cualquier smartphone (Android o iOS) que pase por su cercanía, con un mensaje previamente definido por su dueño.

Lo típico, por tanto, es que en ese cuadro de texto se ponga el número de teléfono o el email con un aviso del tipo: «Si encuentras esto, por favor, avísame».

Cuando un dispositivo pasa cerca del AirTag, recibe una notificación que le lleva a una página con una URL única en https://found.apple.com, y que muestra un diseño como el siguiente:

found apple

Hasta aquí, todo correcto.

Cómo funciona el ataque

La cuestión es que los chicos de Apple se han olvidado formatear ese cuadro de texto, por lo que en la práctica, un agente malintencionado puede utilizar ese espacio para redirigir a otra página, por ejemplo una de una campaña de phishing, forzando al usuario a loguearse en la supuesta web de Apple para ver la información.

Eso o utilizar ese cuadro de texto para incitar a que alguien conecte un USB asociado al AirTag a un dispositivo, en un ataque de ingeniería social como el que propuse hacer hace unos años en el Campus de Google, y cargarle con él un malware.

¿Ves por dónde quiero ir?

Es un error de guión cuando uno diseña formularios de contacto. Si abres la veda a que en dicho formulario se pueda meter código ejecutable, abres la veda a hacer ataques de injección SQL (en webs) o, como en este caso, utilizar la web de Apple como señuelo en campañas de phishing.

Hay que decir, eso sí, que Apple ya conoce el fallo, y se espera que lo solucione más pronto que tarde. A fin de cuentas, la solución es relativamente sencilla de aplicar (con formatear y controlar el campo evitando que se meta contenido que no sea un número de teléfono o una dirección email, bastaría).

Pero no deja de ser un ejemplo más de cómo, un fallo tonto de diseño en un producto de uso masivo puede hacer que, de pronto, millones de dispositivos acaben sirviendo de herramientas de ataque improvisadas.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.