Apple AirTag ya ha roto el jailbreak como resultado de un ataque rickroll – naked security

Apple anunció recientemente un dispositivo de respaldo llamado AirTag:, Un nuevo competidor en la categoría de productos de «etiqueta inteligente».

El AirTag es un botón redondo del tamaño de un teclado que puede adjuntar a su maleta, computadora portátil o, de hecho, a sus llaves para ayudarlo a encontrar el artículo que necesita en el lugar equivocado.

Si recuerdas los teclados silbantes que eran un poco molestos en la década de 1990, esta es la versión del siglo XXI.

Sin embargo, a diferencia de sus homólogos de sonido del último milenio, las etiquetas de hoy en día tienen más funcionalidad, lo que plantea un riesgo de privacidad correspondientemente mayor.

Las etiquetas inalámbricas modernas con Bluetooth և NFC no solo responden de manera neutral a la señal cuando les envía una señal audible, sino que están dentro del alcance.

Productos como AirTag también anuncian sus transmisiones de emisión Bluetooth regulares, al igual que lo hace su teléfono cuando está en modo detectable.

Para dejar de usar sus etiquetas como una herramienta de seguimiento permanente para quienes lo persiguen, la ID de Bluetooth se cambia cada pocos minutos, como las balizas de Bluetooth utilizadas en la interfaz de notificación de impacto de notificación de privacidad de Apple և Google և Google.: para la infección por coronavirus.

Si alguien desliza un teléfono habilitado para NFC a AirTag, presenta una URL presuntamente anónima a un servidor de Apple. found.apple.com, donde pueden informar sobre un artículo inapropiado.

(No tenemos práctica práctica con AirTag, pero probablemente pueda optar por recuperar su información personal mediante el número de teléfono, pero asumimos que no se revela nada sobre su identidad de forma predeterminada, por lo que los artículos perdidos pueden informarse de forma anónima 🙂

READ  Mario salta a la moda de Billboard en 3D promocionando la nueva película

Además, dado que el puerto de doble puerto ahora estaba activo, el dispositivo desbloqueado se podía controlar como se ve.

AirTag atacado

Según reporta, otro investigador que lo pasa por @ghidraninja: En Twitter (Guía: Es el conocido conjunto de herramientas de ingeniería inversa de la Agencia de Seguridad Nacional de EE. UU.). truco de corte de energía Jailbreak AirTag.

Aparentemente @ ghidraninja pudo volcar el firmware protegido duplicado de AirTag, modificarlo un poco գրել reescribirlo con un dispositivo no revelado.

Hasta ahora, la brecha no es evidencia de un ataque peligroso, sino de PoC. @Ghidraninja cambió el nombre del servidor found.apple.com dentro del firmware para que el AirTag «perdido» redirija el iPhone encuestado al sitio web legítimo de Apple.

Pero para el video de YouTube, lo adivinaste, interpretado por Rick Estley. Nunca me rendiré a ti:

¿Qué hacer?

Ahora, no creemos que haya mucho de qué preocuparse si usted no está en el equipo de ciberseguridad de Apple (o el personal de relaciones públicas) y no está tratando de averiguar cómo descifrar la próxima generación de AirTags contra este truco.

Los estafadores que quisieran hacer un mal uso del vínculo de retroceso para perseguirlo o mantener su propiedad bajo control podrían simplemente usar su propio vínculo de retroceso descalzo para ocultarlo en algún lugar que no hubiera notado.

Si querían que se viera como un AirTag para poder «ocultarlo» a plena vista, simplemente podían adjuntarlo a un paquete como ese.

READ  Escúchame: pestañas del navegador en las aplicaciones del reproductor de música:

Por supuesto, todavía existe el riesgo de que alguien use el AirTag atrapado descalzo como una tentación para engañar a los buenos usuarios de iPhone de Samaritan para que vean una URL falsa ու dándoles …

… Entonces, como dice el video, «R Tenga cuidado al buscar AirTags poco fiables.»

Nuestra sugerencia: si encuentra las pertenencias de otra persona և desea ayudar a reunirlos con el propietario real, simplemente entréguelos al estilo de la vieja escuela, por ejemplo, en la estación de policía o en la oficina de objetos perdidos.

Y por cínico que parezca, tenga cuidado con las personas que no conoce que están claramente agradecidas por la cruel «bondad» que afirman haber hecho por ellos.

Escuchanos podcast de episodios especiales Con Rachel Tobak, una reconocida experta en ingeniería social, muéstrese ություն seguro վստահ al no publicar, hacer ni aceptar «obsequios» en línea que podrían ser otra cosa:


Check Also

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Última actualización: 25 de julio de 2023 06:17 UTC+02:00 Estamos a solo unos días del …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *