La actualización de iOS 17.1 ha corregido una vulnerabilidad que permitía rastrear la dirección MAC de un iPhone cuando este se conectaba a la red WiFi, un fallo que afectaba a la característica que desde iOS 14 prometía ocultarla.
Apple lleva años trabajando en características de seguridad que ayuden a camuflar la dirección MAC de un dispositivo, que actúa como una suerte de DNI para este cuando se conecta a una red WiFi para evitar la monitorización del usuario a través de este tipo de conexión.
Con iOS 8 introdujo la generación aleatoria de Mac falsas y con iOS 14 la posibilidad de ocultar la dirección WiFi de iPhone e iPad. Sin embargo, esta última característica no ha funcionado como se esperaba debido a la presencia de código vulnerable.
La compañía tecnológica ha lanzado esta semana una actualización de seguridad (iOS 17.1 e iPadOS 17.1) para mDNSResponder que retira dicho código, el cual ha permitido que de forma pasiva se pudiera rastrear la dirección MAC.
El fallo ha sido identificado por los desarrolladores e investigadores Talal Haj Bakry y Tommy Mysk de Mysk Inc., y registrado como CVE-2023-42846.
La corrección distribuida se dirige a iPhone XS y posteriores, iPad Pro 12,9 pulgadas de 2ª generación y posteriores, iPad Pro 10,5 pulgadas, iPad Pro 11 pulgadas de 1ª generación y posteriores, iPad Air 3ª generación y posteriores, iPad 6ª generación y posteriores e iPad mini de 5ª generación y posteriores.
iPhone 15: así están estafando a quienes reclaman por recalentamiento
Un grupo de estafadores ha estado utilizando el problema de sobrecalentamiento de los nuevos dispositivos de Apple, los iPhone 15, como excusa para engañar a los usuarios y robar sus costosos aparatos; la estrategia de los delincuentes es indicar que se trata de un error peligroso y que el modelo debe ser cambiado por uno sin esta falla.
Y es que tras el lanzamiento de los iPhone 15 el pasado mes de septiembre, los usuarios comenzaron a detectar un problema de sobrecalentamiento en el dispositivo, sobre todo, durante la carga de la batería y con un uso prolongado.
Sus nuevos ‘smartphones’ y adelantó que se trataba de un fallo en iOS 17. Por ello, con la versión iOS 17.0.3, que fue lanzada a principios de octubre, la compañía introdujo un parche para solucionar este fallo en todos los nuevos iPhone, entre otras novedades.
Sin embargo, algunos actores maliciosos en Estados Unidos han utilizado este error real de los iPhone 15 como gancho para estafar a los usuarios y conseguir robarles el ‘smartphone’, tal y como ha podido conocer Mashable.
En concreto, el modus operandi de los estafadores comienza por hacerse pasar por trabajadores de plataformas que venden estos dispositivos, como es el caso de Verizon. De esta forma, los actores maliciosos son capaces de averiguar qué usuarios adquirían un iPhone 15 a través de esta plataforma, y contactaban con ellos mediante una llamada telefónica.
En dicha llamada, los estafadores aseguran ser trabajadores de Verizon e informan a los usuarios de que, cuando recibiesen su nuevo iPhone 15, les volverían a llamar para ejecutar un diagnóstico de forma remota sobre el problema de sobrecalentamiento.
Así, una vez el usuario recibía su dispositivo, los actores maliciosos volvían a llamar. En esta ocasión, explicaban en qué consistía el fallo de sobrecalentamiento a los usuarios, y les indicaban que habían recibido un comunicado desde Apple que detallaba que su dispositivo era uno de los afectados por el error.
Además, incidían en que se trata de un fallo “peligroso” y que, por ello, desde la plataforma debían recoger el iPhone “de inmediato”, según Mashable.
Finalmente, los estafadores enviaban una empresa de mensajería a la dirección del usuario para recoger el iPhone 15 supuestamente defectuoso, todo ello con la premisa de que se les entregaría un modelo nuevo y sin fallos durante el mismo día.
Al tratarse de un error real de iPhone, los estafadores lo utilizaban como excusa para conseguir más credibilidad. De hecho, según declaraciones de un portavoz de Verizon al mismo medio, esta estafa “suena como un esquema de ‘phishing’ de voz en el que el actor malicioso se acerca a una víctima potencial y se hace pasar por un representante de TI o de servicio al cliente de una gran corporación e intenta obtener información, o en este caso su teléfono real”.