Un investigador en seguridad informática descubrió un problema en los nuevos AirTag de Apple, que pueden utilizarse como una muy buena herramienta de phishing para cazar a usuarios descuidados o que no conozcan su funcionamiento.
Esta vulnerabilidad es causada por el Modo Perdido de los AirTag, que permite ingresar un mensaje personal o un número de contacto al dispositivo para que quien lo encuentre se pueda comunicar con el dueño.
Esos datos de contacto aparecen al escanear un AirTag, ya sea con un iPhone o con un teléfono Android. El problema radica en que el campo del número de teléfono que se completa al declarar un AirTag como perdido permite ingresar cualquier tipo de código, por ejemplo, una URL que envíe a quien escanea el AirTag a un sitio web para robar credenciales o contraseñas.
Según Bobby Rauch, el investigador que descubrió el problema, lo grave del asunto es que un AirTag es un dispositivo muy barato que está al alcance de cualquier persona con intenciones cuestionables. En el pasado ha ocurrido que pendrives u otros dispositivos se dejan tirados por ahí con la esperanza de que algún buen samaritano los encuentre y conecte a un equipo solo por curiosidad.
El investigador también revela que contactó a Apple hace meses para advertirles del problema y la compañía se limitó a responder que indagará en la situación, además de pedir que por favor no filtrara ni hiciera público el hallazgo hasta que se encontrara una solución.
De acuerdo con Krebs on Security, este comportamiento es frecuente: Apple no es muy colaborativa con investigadores externos que encuentran problemas de seguridad en sus productos y eso abre la puerta para que algunos se vean proclives a compartir sus descubrimientos con terceros antes que con los de Cupertino, ya que las recompensas monetarias pueden ser mayores.
