Alerta roja: un dispositivo económico que aún permite hackear la contraseña del iPhone

Hace unos días, los iPhones de los visitantes a una conferencia de hackers en Las Vegas (EE.UU.) recibían continuamente solicitudes para conectarse a un Apple TV virtual.

Resulta que el “Apple TV” que intentaba sincronizarse con esos iPhones era un dispositivo Bluetooth casero que costaba sólo unos 70 dólares.

El autor de esta broma, el hacker Jae Bochs, explicó su idea, que era llamar la atención sobre una grave vulnerabilidad que espera que Apple solucione rápidamente:

"Si el usuario (iPhone) interactúa con la solicitud y si el otro extremo está configurado para responder de forma convincente, creo que el dispositivo podría lograr que el objetivo revele varias contraseñas".

El señor Bochs también dijo que el dispositivo fue construido con componentes por un valor total de 70 dólares, incluyendo una computadora Raspberry Pi Zero 2W, dos antenas, una batería y un chip Bluetooth compatible con Linux.

En el centro del ataque estaba la falta de seguridad de la función BLE (Bluetooth Low Energy) que permite que los dispositivos Apple se conecten entre sí a través de Bluetooth.

Según el Sr. Bochs, hasta que la vulnerabilidad mencionada no esté completamente corregida, los usuarios de iPhone y de cualquier producto de Apple no deberían confiar demasiado en la aplicación Centro de control.

En concreto, para desactivar por completo el Bluetooth en iPhone, iPad o MacBook, los usuarios de Apple no pueden confiar en el botón de alternancia aparentemente conveniente del Centro de control, sino que deben acceder a Configuración.

En realidad, esto evita que sus dispositivos interactúen con otros dispositivos Bluetooth cercanos, como los dispositivos Apple falsos de los piratas informáticos.