Skip to main content

Las Apple AirTags son un coladero de seguridad y privacidad

Back and front of an Apple AirTag
(Image credit: Apple)

Como era de suponer, hace falta muy poquito para convertir los nuevos Apple AirTags en un gadget de espionaje sacado directamente de una película de James Bond. Varios hackers, algunos por pura curiosidad, han conseguido descifrar el AirTag y cambiar por completo su función saltándose todas las supuestas "supermedidas" de seguridad de Apple.

Estos hackers han mostrado claramente cómo las AirTags pueden reconvertirse en dispositivos maliciosos, aunque todavía no hay pruebas de que alguien lo haya puesto en práctica sin avisar.

El AirTag es básicamente una chapa de Apple que los usuarios pueden colocar en diferentes objetos para seguir su movimiento. Tras meses de especulaciones, Apple los lanzó hace pocas semanas. Los analistas piensan que puedenn suponer una gran fuente de ingresos para Apple.

En un YouTube sobre sus métodos, el investigador de hardware Colin O'Flynn mostró cómo hizo un "jailbreak" a la AirTag — básicamente, saltando los protocolos de seguridad de Apple para llegar al fondo de su sistema operativo — y la hizo enviar una URL maliciosa a un iPhone.

"Los AirTags se venden en un estado en el que no se puede acceder al microcontrolador interno porque, durante la fabricación, Apple bloquea el interfaz de depuración de código", reveló el investigador Thomas Roth. Pero, según él, se puede reactivar la interfaz de depuración y acceder al software del AirTag para examinarlo y manipularlo.

Atacar un iPhone con un AirTag

Fabian Bräunlein — de Positive Security — consiguió transmitir datos arbitrarios a dispositivos Apple cercanos a través del protocolo Find My. En una entrada de su blog, Bräunlein afirma que la difusión de datos es posible mediante la suplantación de muchas AirTags y la codificación de esos datos. A continuación, asegura, un dispositivo iOS cargó los datos mientras recibía la ubicación del AirTag.

Bräunlein cree que este método puede utilizarse para convertir el AirTag en un aparato de comunicación con máquinas iOS, iPadOS y macOS.

"Tenía curiosidad por saber si la red de búsqueda sin conexión de Find My podría usarse para subir cualquier dato a Internet, desde dispositivos que no están conectados a WiFi o a Internet móvil", dijo Bräunlein a Motherboard.

Bräunlein dijo que el trabajo de Apple estaba "bien diseñado criptográficamente", pero que la compañía podría "limitar el potencial de uso indebido" mediante cambios en su diseño.

Sead Fadilpašić is a journalist - crypto, blockchain and new tech in general. He is also a hubSpot certified content creator and Writer.