Underc0de
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Agosto 21, 2023, 05:37:33 PM
(https://i.postimg.cc/xCHsQCSV/iphone-popups-device-3.png) (https://postimages.org/)
En la reciente conferencia de piratería Def Con, los piratas informáticos demostraron cómo falsificar un dispositivo Apple y engañar a los usuarios para que compartan sus datos confidenciales.
Como informó Techcrunch, los asistentes a la conferencia que usaban iPhones comenzaron a observar mensajes emergentes que les pedían que conectaran su ID de Apple o compartieran una contraseña con un Apple TV cercano.
(https://i.postimg.cc/P5rFDT11/Spoofing-an-Apple-device-1.png) (https://postimages.org/)
El investigador de seguridad que se hace llamar Jae Bochs dijo en Mastodon que los mensajes eran parte de su proyecto de investigación.
"También para ofrecer algo de tranquilidad: esto se creó con dos propósitos: recordar a las personas que *apaguen realmente* el Bluetooth (es decir, no desde el centro de control) y que se rían". explicó Bochs.
Agregó que no se recopilaron datos y que solo estaba enviando paquetes publicitarios de Bluetooth de baja energía (BLE) que no requieren emparejamiento.
Bochs utilizó un equipo económico compuesto por una Raspberry Pi Zero 2 W, dos antenas, un adaptador Bluetooth compatible con Linux y una batería portátil.
"Bochs estimó que esta combinación de hardware, sin incluir la batería, cuesta alrededor de $70 y tiene un alcance de 50 pies o 15 metros". informó TechCrunch.
"La proximidad está determinada por la intensidad de la señal BLE, y parece que la mayoría de los dispositivos usan intencionalmente una potencia de transmisión reducida para mantener el rango corto. Yo no :)", dijo Bochs a TechCrunch.
(https://i.postimg.cc/zGt2S6k6/Spoofing-an-Apple-device-2.png) (https://postimages.org/)
Bochs se centró en las "acciones de proximidad", que aparecen en la pantalla de un iPhone cuando dos dispositivos están cerca uno del otro.
Creó una prueba de concepto para crear un paquete publicitario personalizado que imita la señal BLE emitida por dispositivos como el Apple TV. Básicamente, falsificó un dispositivo Apple que intenta conectarse repetidamente a dispositivos cercanos y activa las ventanas emergentes.En un escenario de ataque real, al tocar y aceptar las indicaciones, permitirá a los actores de amenazas recopilar algunos datos de los paquetes, incluido el número de teléfono, el correo electrónico de ID de Apple y la red Wi-Fi actual.
Incluso si los usuarios tocan el icono de Bluetooth, sus iPhones seguirán recibiendo acciones de proximidad.
Bochs especula que estas fallas fueron "ciertamente por diseño" para permitir que los relojes inteligentes y los auriculares sigan funcionando con Bluetooth activado y Apple no los abordará.
El experto recomienda desactivar Bluetooth en la configuración del dispositivo para proteger el dispositivo.
Fuente:
TechCrunch
https://techcrunch.com/2023/08/16/this-70-device-can-spoof-an-apple-device-and-trick-you-into-sharing-your-password/
Vía:
SecurityAffairs
https://securityaffairs.com/149711/hacking/spoofing-apple-device.html