Los hackers Discover My Community de Apple pueden ser utilizados para rastrear cualquier dispositivo con conectividad Bluetooth convirtiéndolos en balizas de referencia como el Airtag de la compañía, según los investigadores. Un usuario malicioso podría engañar a Apple para encontrar mi pink para rastrear un teléfono inteligente, una computadora portátil o cualquier dispositivo de Web de las cosas (IoT) utilizando su dirección Bluetooth, al engañar a la pink para que piense que es un avión aéreo. El exploit se puede usar para identificar la ubicación de un dispositivo o rastrearlo a medida que se mueve a través de un área específica.
Contratando la pink de encontrar mi pink en el seguimiento de dispositivos Bluetooth ordinarios
Según el investigador de la Universidad de George Mason, Junming Chen, la pink Discover My Community de Apple contiene una vulnerabilidad Bluetooth que permitiría a un hacker rastrear silenciosamente un dispositivo utilizando su dirección Bluetooth. Apodado ‘Nroottag’, este ataque engaña al encuentro de mi pink para pensar que un dispositivo es un avión de aire perdido.
Un equipo de cuatro investigadores dirigidos por Chen descubierto que el ataque de Nroottag podría usarse para identificar la ubicación de un dispositivo conectado Bluetooth con una precisión de 10 pies (3.05 metros). También podría usarse para localizar un objeto más grande, como una bicicleta electrónica, y rastrearlo mientras se movía por una ciudad. El equipo también destacó que la falla también podría usarse mal para identificar la ubicación de las cerraduras inteligentes que han sido pirateadas, lo que permite a los atacantes encontrarlos fácilmente.
Si bien Apple protege la privacidad del usuario en un avión aertag al cambiar su dirección Bluetooth utilizando una clave criptográfica, este proceso requiere privilegios elevados. Para eludir esto, los investigadores utilizaron cientos de GPU para identificar una clave que es appropriate con la dirección Bluetooth de un dispositivo y hacer que se adapte a la dirección.
El uso de varias GPU alquiladas ofrece un método asequible para identificar rápidamente la ubicación de un dispositivo en cuestión de minutos “. Nroottag tiene una tasa de éxito del 90 por ciento, según los investigadores, quienes dicen que las compañías publicitarias podrían evitar el uso de GPS y los usuarios de seguimiento o perfil con esta técnica.
Si bien la pink de Apple fue diseñada para rastrear los propios dispositivos de la compañía, los investigadores pudieron usar Nroottag para rastrear dispositivos móviles, computadoras portátiles, dispositivos IoT, televisores inteligentes e incluso auriculares de realidad digital (VR). Presentarán estos hallazgos en el Simposio de Seguridad de Usenix en agosto.
Los investigadores contactaron a Apple sobre el defecto de seguridad en julio de 2024, y la compañía reconoció su contribución en el notas de lanzamiento para iOS 18.2, que se lanzó en diciembre (ver el Proximidad sección).
Sin embargo, una solución adecuada para el problema, cada vez que lo publique Apple, probablemente requeriría una actualización para Discover My Community, y podría retrasarse por los usuarios que aplazan la instalación de actualizaciones de software program en sus dispositivos. Los investigadores afirman que la vulnerabilidad en la pink Discover My Community podría existir durante años, hasta que estos dispositivos obsoletos lentamente “mueren”.
Los usuarios pueden tomar algunas precauciones para mantener sus dispositivos a salvo del seguimiento, como ser juiciosa al tiempo que otorga acceso a las aplicaciones al permiso Bluetooth o asegurarse de que sus dispositivos estén actualizados. Los investigadores también recomiendan el uso de sistemas operativos centrados en la privacidad que podrían proteger la privacidad del usuario.
Para obtener detalles de los últimos lanzamientos y noticias de Samsung, Xiaomi, Realme, OnePlus, Oppo y otras compañías en el Cellular World Congress en Barcelona, visite nuestro centro MWC 2025.
