Apple aún tiene que solucionar un fallo de seguridad vital en su red Find My

febrero 28, 2025 Aranzulla de Los Pobres

La red Find My de Apple es una herramienta poderosa para rastrear la ubicación de sus dispositivos, pero tiene una vulnerabilidad de seguridad importante que no ha sido reparada. Investigadores de la Universidad George Mason descubrieron que la red se puede explotar para rastrear casi cualquier dispositivo Bluetooth, no solo un AirTag o un iPhone, a través de una combinación de la red de Apple y la dirección Bluetooth de un dispositivo.

"Es como transformar cualquier computadora portátil, teléfono o incluso consola de juegos en un Apple AirTag, sin que el propietario se dé cuenta", dijo el autor principal Junming Chen . "Y el hacker puede hacerlo todo de forma remota, a miles de kilómetros de distancia, con sólo unos pocos dólares ".

Para comprender el exploit, es necesario comprender cómo funciona la red Find My . Tomemos un AirTag como ejemplo; hace ping a los dispositivos Apple cercanos con una señal Bluetooth, y esa señal se envía de forma anónima a Apple Cloud. La clave del exploit reside en este anonimato.

Sitio web Find My Devices de Apple que muestra una lista de dispositivos sobre un mapa de fondo. — Jesse Hollington / Tendencias digitales / Apple

Dado que la red Find My se basa en datos cifrados en lugar de privilegios administrativos, los investigadores pudieron crear una clave que se adapta sobre la marcha. Lo llamaron "nRootTag" y lo aterrador es que tiene una tasa de éxito del 90%.

El equipo probó el exploit en una amplia gama de dispositivos con un éxito inquietante. Identificaron la ubicación de una computadora con una precisión de 10 pies e identificaron la trayectoria (y el número) de vuelo de un avión rastreando una consola de juegos que un pasajero había subido a bordo.

Si bien el experimento destaca el poder de la red Find My, también ilustra la facilidad con la que un mal actor podría obtener acceso a información confidencial. Los AirTags se han utilizado para rastrear personas en el pasado, una de las razones por las que Apple pretende hacer que el altavoz sea más difícil de eliminar en el AirTag 2, pero nRootTag va más allá. El equipo rastreó cascos de realidad virtual, televisores inteligentes y muchos otros dispositivos con relativa facilidad.

Icono Buscar mi aplicación en iOS 15. — Manzana

Qiang Zeng, otro miembro del equipo de investigación, destacó un uso particularmente terrible. “Aunque da miedo si tu cerradura inteligente es pirateada, se vuelve mucho más aterrador si el atacante también conoce su ubicación. Con el método de ataque que introdujimos, el atacante puede lograrlo”.

El equipo alertó a Apple sobre la falla de seguridad en julio de 2024 y desde entonces la compañía lo reconoció en notas de actualización. Sin embargo, no se ha emitido ningún parche. El exploit aprovecha la funcionalidad principal de la red Find My, e introducir una solución que no afecte de alguna manera la funcionalidad de seguimiento de ubicación llevará tiempo, potencialmente años, según el equipo.

En cuanto a qué hacer mientras tanto, Chen recomienda mantener todos los dispositivos y el software actualizados y monitorear todo lo que solicite permiso de Bluetooth, especialmente si la aplicación no lo necesita.