Tarde o temprano tenía que ocurrir. Los hackers solo han necesitado 10 días para obtener acceso al AirTag de Apple, y usarlo para hacer cosas como peligrosas, como phishing.
Una de las tendencias tecnológicas que estamos viendo este año, son las etiquetas localizadoras. No son una novedad, porque existen desde hace años, pero todo se convierte en trending cuando lo usan compañías como Apple o Samsung.
Apple puso a la venta su etiqueta localizadora AirTag hace apenas 10 días, y ya ha sido hackeada. Son dispositivos que no hacen ninguna gracia a los expertos en seguridad, porque sirven para rastrear a las personas, y por tanto atentan contra la privacidad. La propia Apple indica en su web que no se usen para colocarlas en niños o mascotas.
Los dispositivos AirTag, del tamaño de una chapa de refresco, se colocan en el llavero para no perder las llaves, por ejemplo, ya que pueden localizarse en el rango de unos 15 metros usando Bluetooth 5, y en cualquier lugar del mundo con ayuda de otros usuarios, y la red de Apple. También se usan con las maletas, objetos de valor, y en definitiva, cualquier cosa que quieras localizar si se pierde.
Si, por ejemplo, te roban o has perdido la maleta y has colocado un AirTag dentro, cuando una persona que tenga un iPhone o un iPad pase cerca de ella, se comunicará con el AirTag de forma anónima a través de Bluetooth y éste enviará un aviso de localización al dueño de la maleta.
Además si alguien se conecta al AirTag a través del móvil por NFC, le muestra una forma de comunicarse con el dueño de la maleta, para devolvérsela.
Un experto en seguridad alemán cuyo nombre en Twitter es Stack Smashing asegura que ha hackeado el AirTag, y lo demuestra en este vídeo:
Este hacker ha conseguido tomar el control del microcontrolador del AirTag, lo que le permite hacer cosas realmente peligrosas, como cambiar la página web que el AirTag muestra a la persona que se conecta por NFC para intentar devolver el objeto a su dueño.
En lugar de mostrar la página con información de contacto de Apple, se puede usar cualquier otra web. Esto sirve para hacer phishing, es decir, suplantar la identidad de Apple y redirigir al usuario a una web maligna en donde podría pedirle sus claves o cualquier otra cosa.
Por suerte este AirTag hackeado es obra de un experto en seguridad y no un ciberdelincuente, así que ya ha puesto toda la información en manos de Apple para que lo arreglen. Es posible que Apple ya haya tenido en cuenta este posible hackeo, y bloquee cualquier web manipulada como la que ha cambiado el hacker.
Pero siempre es una buena noticia que se descubran posibles agujeros de seguridad, y las compañías estén al tanto para corregirlos.