Header Ads Widget

Ticker

6/recent/ticker-posts

Cómo un error de codificación convirtió a AirTags en perfectos distribuidores de malware

Un investigador de seguridad descubrió que un área abierta para escribir un número de teléfono ha convertido involuntariamente a AirTags en un regalo de Dios para los delincuentes de malware.


Uno de los hechos más alarmantes sobre la TI móvil en 2021 es que la simplicidad y la conveniencia son demasiado tentadoras en los dispositivos pequeños (piense en AppleWatch, AirTags, incluso en los anillos que rastrean las condiciones de salud, auriculares inteligentes, etc.). 

En comparación con sus antepasados ​​de computadoras portátiles y de escritorio, hacen que sea mucho más difícil verificar que las URL sean correctas, que los mensajes de correo electrónico no deseado / malware / mensajes de correo electrónico no se abran y que los empleados sigan las precauciones mínimas de ciberseguridad que pide el departamento de TI. En resumen, a medida que aumenta la comodidad, también aumentan los riesgos de seguridad. (Confesión: aunque trato de estar muy atento con los correos electrónicos de escritorio, lo hago periódicamente, con mucha más frecuencia de lo que debería, bajar la guardia ante un mensaje que llega a través de mi AppleWatch).

Otra de las realidades de la ciberseguridad que siempre ha existido y siempre será, es que los pequeños errores de programación son fáciles de cometer y, a menudo, se pasan por alto. Y, sin embargo, esos pequeños errores pueden dar lugar a enormes agujeros de seguridad. Esto nos lleva a Apple y Airtags.

Un investigador de seguridad ha acudido al rescate del CISO y ha descubierto que un área abierta para escribir un número de teléfono ha convertido involuntariamente a AirTags en un regalo de Dios para los delincuentes de malware.

Pasemos a  Ars Technica para obtener detalles sobre el desastre. 

“El consultor de seguridad y probador de penetración Bobby Rauch descubrió que los AirTags de Apple, dispositivos diminutos que se pueden colocar en elementos que se pierden con frecuencia, como computadoras portátiles, teléfonos o llaves del auto, no desinfectan la entrada del usuario. Esta supervisión abre la puerta para que se utilicen AirTags en un ataque de caída. En lugar de sembrar el estacionamiento de un objetivo con unidades USB cargadas con malware, un atacante puede dejar caer un AirTag preparado maliciosamente ”, informó la publicación .

“Este tipo de ataque no necesita muchos conocimientos tecnológicos: el atacante simplemente escribe XSS válido en el campo de número de teléfono de AirTag, luego pone el AirTag en modo Perdido y lo deja en algún lugar donde el objetivo probablemente lo encuentre. En teoría, escanear un AirTag perdido es una acción segura: solo se supone que debe abrir una página web en https://found.apple.com/. El problema es que found.apple.com luego incrusta el contenido del campo del número de teléfono en el sitio web como se muestra en el navegador de la víctima, sin desinfectar ".


La peor parte de este agujero es que el daño que puede infligir solo está limitado por la creatividad del atacante. Al poder ingresar casi cualquier URL en esa ventana, junto con el hecho de que es poco probable que las víctimas se molesten en investigar de manera significativa lo que está sucediendo, las malas opciones son casi ilimitadas.

Más de  Ars Technica :  “Si se encuentra, apple.com incrusta inocentemente el XSS anterior en la respuesta de un AirTag escaneado, la víctima obtiene una ventana emergente que muestra el contenido de badside.tld / page.html. Esto podría ser un exploit de día cero para el navegador o simplemente un cuadro de diálogo de phishing. Rauch plantea la hipótesis de un cuadro de diálogo de inicio de sesión de iCloud falso, que se puede hacer para que se parezca a lo real, pero que, en cambio, descarga las credenciales de Apple de la víctima en el servidor del objetivo ”, dice la historia. “Aunque este es un exploit convincente, de ninguna manera es el único disponible; casi cualquier cosa que pueda hacer con una página web está sobre la mesa y disponible. Eso va desde el phishing simple como se ve en el ejemplo anterior hasta exponer el teléfono de la víctima a una vulnerabilidad de navegador sin clic de día cero ".

Rauch publicó muchos más detalles en Medium . 

Es por eso que la conveniencia de dispositivos como AirTags es peligrosa. Su personalidad de pequeño tamaño y capacidad de función única los hace parecer inocuos, lo que en absoluto no lo son. Cualquier dispositivo que pueda comunicarse con cualquier persona o con cualquier cosa según el capricho del dispositivo (y, sí, estoy mirando las cerraduras de las puertas de IoT y IIoT, bombillas, sensores de temperatura y similares) es una gran amenaza. Es una amenaza para los consumidores, pero es una amenaza mucho más peligrosa para las operaciones de seguridad y TI de la empresa.

Esto se debe a que cuando los empleados y contratistas (sin mencionar los distribuidores, proveedores, socios e incluso grandes clientes con credenciales de red) interactúan con estos pequeños dispositivos, tienden a olvidar todas las instrucciones de capacitación en ciberseguridad. Los usuarios finales que están atentos al correo electrónico en su escritorio (que no es todo el mundo, es triste decirlo) todavía dejarán caer la pelota en dispositivos pequeños ultra convenientes, como lo haría yo. No deberíamos, pero lo hacemos.

Y ese "no deberíamos" merece más contexto. Algunos de estos dispositivos, incluidos los AirTags y los relojes inteligentes, hacen que la vigilancia de la ciberseguridad por parte de los usuarios finales sea casi imposible. Esta pesadilla de AirTag es solo otro recordatorio de este hecho.

KrebsOnSecurity profundizó en algunos de los elementos más aterradores de este problema de AirTags. 

“El modo perdido de AirTag permite a los usuarios alertar a Apple cuando falta un AirTag. Configurarlo en Modo Perdido genera una URL única en https://found.apple.com y permite al usuario ingresar un mensaje personal y un número de teléfono de contacto. Cualquiera que encuentre el AirTag y lo escanee con un teléfono Apple o Android verá inmediatamente esa URL única de Apple con el mensaje del propietario ”, señaló KrebsOnSecurity. “Cuando se escanea, un AirTag en modo perdido presentará un mensaje corto pidiendo al buscador que llame al propietario al número de teléfono especificado. Esta información aparece sin pedirle al buscador que inicie sesión o proporcione información personal. Pero es posible que el buen samaritano promedio no sepa esto ".

Esa es una buena explicación del peligro, pero la parte más intrigante es lo indiferente que está siendo Apple con respecto a este agujero, un patrón que he visto repetidamente con Apple. La compañía dice que le importa, pero su inacción dice lo contrario. 

“Rauch se puso en contacto con Apple sobre el error el 20 de junio, pero, durante tres meses, cuando preguntó al respecto, la compañía solo dijo que todavía estaba investigando. El jueves pasado, la compañía le envió a Rauch un correo electrónico de seguimiento indicando que planeaban abordar la debilidad en una próxima actualización, y mientras tanto, ¿le importaría no hablar de ello públicamente? " KrebsOnSecurity informó. “Rauch dijo que Apple nunca reconoció las preguntas básicas que hizo sobre el error, como si tenían un cronograma para solucionarlo y, de ser así, si planeaban acreditarlo en el aviso de seguridad adjunto. O si su presentación calificaría para el programa de recompensas por errores de Apple, que promete recompensas financieras de hasta $ 1 millón para los investigadores de seguridad que reporten errores de seguridad en los productos de Apple.

Primero, Rauch tiene toda la razón aquí. Cuando cualquier proveedor pregunta por problemas de seguridad, daña a sus usuarios y a la industria al permanecer sentado durante meses, o más. Y al no alertar rápidamente a un investigador sobre si le pagarán o no, le están dando al investigador pocas opciones más que alertar al público.

Como mínimo, el proveedor debe ser explícito y específico sobre cuándo se implementará un parche. Aquí está el truco: si Apple no puede hacerlo por un tiempo, existe la obligación de informar el agujero a las víctimas potenciales para que se comporten de manera que lo eviten. Obviamente, arreglar el agujero es mucho mejor, pero si Apple no lo hace rápidamente, está creando una situación insostenible.

Este es el antiguo problema de divulgación de errores, un problema que se suponía que debían abordar estos programas de recompensas. La divulgación previa al parche corre el riesgo de señalar el agujero a los ladrones cibernéticos, que podrían apresurarse a aprovecharse de ellos. Dicho esto, no es que algunos atacantes no conozcan el agujero. En ese caso, la inacción de Apple no hace más que dejar a las víctimas expuestas al ataque.

El comportamiento de Apple es exasperante. Al tener un programa de recompensas que vincula las promesas de pago con las solicitudes de silencio, la empresa tiene la obligación de tomar en serio ambos elementos. Si tiene un programa de este tipo y luego tarda demasiado en hacer algo al respecto, socava todo el programa, junto con los consumidores y las empresas por igual.


Publicar un comentario

0 Comentarios