Apple AirTags usados para vigilar la vida de las personas #Stalkers

Hoy he leído la noticia de dos personas denunciando a Apple por que su vida se ha visto afectada por los Apple AirTags. Su privacidad se ha visto afectada, y aunque el caso es más complejo que lo que voy a explicar aquí, quería dedicar este artículo de hoy a hablar de algo que, como usuario que soy de los Apple AirTags, me lleva rondando la cabeza hace tiempo. Dejadme que os cuente la historia como yo la veo, comenzando con la preocupación con los AirPods Pro.

Figura 1: Apple AirTags usados para vigilar la vida de las personas #Stalkers

Hace un tiempo, cuando me compré los Apple AirPods Pro, y jugando con ellos para ver que cosas de Safety & Security se podía hacer que ayudaran en el Hacking de iOS (iPhone & iPad) encontré cosas que no me gustaban en seguridad y privacidad personal

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Con ellos se podía utilizar vigilar las entradas y salidas de personas, pero no ayudaba a los dueños de los Apple AirPods a encontrarlos una vez que fueran perdidos o robados, y se encontraran a una distancia mayor de la señal de BlueTooth. Con el tiempo, Apple ha hecho una actualización, que os aseguro que aún no he acabado de entender cómo funciona, en las pruebas que he hecho hasta ahora, pero que ha generado bastante preocupación. 

Figura 3: Nuevas alertas de AirPods

Varias personas me han escrito a mi buzón de MyPublicInbox preguntándome por si la estaban espiando, que esta alerta que sale hoy en día no es clara del todo. Aún no he terminado de hacer todas las pruebas que quiero hacer, pero en cuanto las tenga, os las compartiré. 

Figura 4: Explicación y demo de AirPodSpy

En el caso de los AirPods Pro de Apple es un poco peligroso, porque la mayoría de las personas que utilizan unos cascos de música no piensan que puedan ser utilizados para vigilar sus movimientos, así que las decisiones que tome Apple sobre ellos afecta a la vida de muchas personas.

Apple AirTags & Stalkers

En el caso de los Apple AirTags parece que es distinto, ya que son para eso, para localizar cosas. "Cosas" que pueden ser personas en tiempo real. Y personas que puede que no sepan que están siendo localizados con estos dispositivos. Alguna, como estas mujer que ha puesto una denuncia a Apple por los problemas que les han causado en su vida personal, y que queda reflejado en esta demanda, que merece la pena que todos los leáis en detalle.

Figura 5: Demanda contra Apple por las medidas contra Stalkers de AirTags

Hay que tener en cuenta que localización es probablemente el dato que más dice de la vida de las personas. Hace años yo impartí una conferencia titulada "Your are where you are" donde hablaba de todo esto, que creo que ilustra lo mucho que dice el dato de localización de las personas.

Figura 6: You are where you are

Pero en el caso de la vida personal de gente que tiene que lidiar con Stalkers, con acosadores, con parejas en entornos de alta presión, etcétera, usar Apple AirTags lo pone muy sencillo, porque basta con dejar uno de ellos en el maletero de un coche, entre el forro de un abrigo, o dentro de un llavero, y se podrá vigilar a una persona constantemente. 

Figura 7: No hay dudas de que se usan para Stalkear personas

Por supuesto, también se utiliza como herramienta, y es posible ver cómo lo usan los adolescentes para localizarse en noches de fiesta, colocándose el Apple AirTag como pulsera o collar y encontrar a los amigos "perdidos", "dormidos" o "desaparecidos". Pero el problema principal es cómo defendernos de los usos maliciosos. 

¿Cómo saber que estamos siendo vigilados?

Para los usuarios de iPhone existe una alerta por defecto, que es la que tienes ahí, donde te avisa de que un dispositivo AirTag te está acompañando en tu ruta, para que puedas buscarlo, y utilizar la herramienta para hacerlo sonar. Pero ni funciona siempre, ni todos los usuarios entienden esta alerta ni que pueden hacerlo sonar en un pitido no demasiado alto, la verdad.

Figura 8: Alerta de que te acompaña un AirTag

Este pitido a veces es automático, es un pitido de AirTag encontrado pero no funciona en todos los terminales iPhone según he comprobado, ni por supuesto en los terminales Android, que están totalmente desprotegidos. Si estás en tu coche, en tu casa, o en la oficina, y oyes un pitido aunque sea ligero, puede que tuvieras un  Apple AirTag escondido en el coche, o en algún otro sitio. Hay que buscar.

Figura 9: Android desprotegidos por defecto, según la demanda

Para los usuarios de Android, (probablemente que no lo conoces si tienes un Android), hay una app en Google Play hecha por Apple llamada Tracker Detect, - que deliberadamente no han querido llamar Apple AirTag Tracker Detect por eso de no reconocer el caso de uso  de Stalking -

Figura 10: app en Google Play Tracker Detect

Pero no funciona en background, no tiene alertas para avisarte cuándo te estás moviendo con un AirTag y es más que nada un botón para usar cuando tengas sospechas, así que parece que Apple no ha hecho mucho. Además, ha metido una preocupación a los usuarios de Android que no deberían tener, pues su red de sensores de iPhone, iPad, Apple Watch, MacBook es tan grande, que es virtualmente imposible que un Apple AirTag usado para vigilar un Android no tenga conectividad. Si lo detectas, eso sí, puedes hacer que suene y deshabilitarlo.

Figura 11: app en Google Play Tracker Detect

Lo que debería hacer los AirTags es, si detectan que siguen a un dispositivo Android comunicarse con él vía Google, para que sea éste el que pueda avisar a sus clientes de que un dispositivo de Apple les está siguiendo pero... ¿os imagináis la conversación para montar este servicio entre Apple y Google? Como conclusión, la demanda dice que muchos usuarios y ciudadanos están sin defensa contra esta amenaza.

Figura 12: Quejas sobre Tracker Detect

En este mundo de wearables, de smartphones, de computación ubicua, y redes de datos BLE, IoT, WiFi, etcétera, mantener la privacidad de las personas va a exigir hacer muchas cosas y tomar las decisiones tecnológicas teniendo en cuenta que ésta - la privacidad - debe ser parte del diseño desde el principio.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Mis últimas charlas del año: Cibercotizante (RADIO), Premios ALETIC (León) & CiberSecurity Summit (Canarias)

Hoy martes festivo, día en el que veremos si la Selección Española de Fútbol Masculina - a la que envío todo mi apoyo - va a poder sumarse al grupo de los mejores 8 equipos del mundo o no en este Mundial, os voy a traer un artículo rápido con las últimas acciones que tengo para este año 2022, que ya casi estamos despidiendo. Aquí os las dejo que son pocas, pero curiosas.

Figura 1: Mis últimas charlas del año: Cibercotizante (RADIO),

Premios ALETIC (León) & CiberSecurity Summit (Canarias)

Como veis en título, tengo una cita con la Radio - que será mañana -, un viaje con entrega de premios en León, que será el lunes que viene, y una entrevista por streaming que haré casi al acabar el año en un evento de Canarias. Además de estas actividades, como ya os publiqué, tenéis la lista de Cursos Online de Seguridad Informática y Hacking que podéis cursar en diciembre en HackBySecurity.

Entrevista en Capital Radio: Cibercotizante

Será mañana a las 15:05 en el programa Cibercotizante de Capital Radio donde José Joaquín Flechoso me entrevistará para hablar sobre Wayra, Innovación Abierta, Startups y este mundo del Emprendimiento que tanto me gusta. Solo media horita.

Figura 2: Miércoles 7 de Diciembre a las 15:05, con José Joaquín Flechoso

Podéis seguirlo en directo a través de Internet en al URL siguiente, pero recuerda que es mañana miércoles 7 de Diciembre a las 15:05: Directo Capital Radio.

Premios ALETIC 2022 en León

El lunes 12 de Diciembre, a las 20:30 en el Auditorio Ciudad de León tendrá lugar la entrega de Premios de la asociación ALETIC 2022, donde Yaiza Rubio y yo estaremos para dar unas charlas durante la entrega de los premios.

Figura 3: Premios ALETIC 2022

Si quieres asistir, puedes apuntarte en la siguiente URL, que el evento es gratuito, pero con un aforo limitado. Cuando se quede sin entradas, se acabó, así que reserva la tuya si quieres venir: Premios ALETIC 2022

TACS 2022: Trans Atlantic Cybersecurity Summit 2022

Por último, el 21 de Diciembre tendré el honor de entrevistar y charlar un rato vía streaming con el gran Mikko Hypponen en el TACS 2022 que tendrá lugar en Las Palmas de Gran Canaria. Quedan pocas plazas, es gratuito, así que, si quieres tu sitio, reserva ya.

Figura 4: TACS 2022 en Las Palmas de Gran Canaria

Este evento, liderado por Igor Lukic - que dará una charla -, tiene este año una agenda espectacular con el gran Mikko a la cabeza, pero acompañado de ponentes de la talla de Pablo Fernández Burgueño o el gran Andrés Naranjo, a.k.a. The XXLMan, que lidera el podcast de "Cosas de Hackers".

Figura 5: Contactar con Mikko Hypponen

Para la entrevista a Mikko Hypponen - del que podéis leer la entrevista que le hice en Una al día - abriremos una sala de chat en MyPublicInbox a la que podréis conectaros por si queréis pasarme alguna pregunta que yo le haga al gran Mikko. Además, al finalizar el evento, se sortearán ejemplares de su libro:

Figura 6: If it´s smart, it´s vulnerable

Y esto es todo. Seguro que aún me cae alguna cosa más antes de cerrar el año, pero con estas actividades, el blog, mis artículos en otros medios, y el trabajo diario, seguro que tengo para no aburrirme hasta que lleguen las ansiadas vacaciones de Navidad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)