Los iPhone de los asistentes a Def Con comenzaron a mostrar notificaciones emergentes invitándolos a vincular sus ID de Apple o intercambiar contraseñas con los Apple TV vecinos.
Estas extrañas notificaciones son parte de un estudio dirigido por el experto en seguridad Jae Bochs. Desarrolló una herramienta especial para lanzar estas ventanas emergentes. para disipar mitos sobre la capacidad Bluetooth del iPhone, según TechCrunch. El experimento fue diseñado para recordar a los clientes que apagar Bluetooth implica usar la aplicación Configuración en lugar del Centro de control.
El experto en seguridad reconoció que el proyecto tenía un factor de diversión además del componente educativo. Llevaron el dispositivo de forma encubierta por toda la conferencia, lo que provocó que aparecieran ventanas emergentes en una variedad de entornos, desde stands de proveedores hasta seminarios de estafa en línea.
El hardware para el experimento incluía una Raspberry Pi Zero de 2 W, dos antenas, un adaptador Bluetooth que funcionaba con Linux y una batería portátil. Bochs esperaba que el equipo costara alrededor de 70 dólares y tuviera un alcance efectivo de 50 pies (15 metros).
Para concentrarse en las “acciones de proximidad” que aparecen en las pantallas del iPhone cuando los dispositivos Apple están cerca unos de otros, Bochs utilizó los protocolos Bluetooth de baja energía (BLE) de Apple. El dispositivo personalizado provocó que los iPhone mostraran notificaciones inesperadas porque enviaba señales que parecían emisiones de baja potencia del Apple TV.
La investigación señala posibles riesgos
Aunque el dispositivo de Bochs no capturó datos de iPhones vecinos, podría haberlo hecho si los usuarios hubieran respondido a las solicitudes, como proporcionar contraseñas. El investigador de ciberseguridad planteó un problema de larga data que permite la recuperación de datos específicos de paquetes transmitidos.
Un artículo de investigación de 2019 encontró fallas en el protocolo Bluetooth Low Energy de Apple que exponían los datos del dispositivo y de comportamiento a los oyentes adyacentes. Estas vulnerabilidades ya se han informado anteriormente. A pesar de esto, Bochs creía que, dado su posible uso previsto, Apple podría optar por evitar solucionar el problema.
Bochs sugirió agregar un descargo de responsabilidad que explique que apagar Bluetooth desde el panel no desactiva totalmente la capacidad de alternar el Centro de control para reducir los riesgos. Para total seguridad, los usuarios deben desactivar Bluetooth en la configuración.
Los organizadores de Def Con enfatizaron fuertemente la seguridad física de los investigadores de seguridad, ampliando el enfoque de la conferencia más allá de la piratería. El aumento de las medidas de seguridad, como consultores de seguridad encubiertos y vigilancia constante, fue impulsado por amenazas y acoso dirigidos a académicos que estudian las debilidades del equipamiento electoral.
Cristian Canton, líder responsable de ingeniería de inteligencia artificial de Meta, dijo que Def Con proporciona un grupo variado de evaluadores que rara vez están disponibles en los equipos internos de las empresas de tecnología. Dijo que Def Con trae gente de dDiferentes comunidades cibernéticas y de hacking. “de los que quizás no tengamos una gran representación”, según NBC News.
La seguridad del voto también es centro de atención
Def Con destaca un problema más importante en el campo de la seguridad electoral, donde los riesgos alimentados por la desinformación están obligando a los funcionarios electorales, trabajadores electorales e investigadores a anteponer la seguridad física a las precauciones de ciberseguridad.
Este año, el Ejercicio de piratería “Voting Village”, que busca encontrar debilidades en los sistemas de votación, incluyó más medidas de seguridad para proteger a los participantes, según Politico. Estas disposiciones enfatizan la necesidad de salvaguardar a las personas y defender la democracia reflejando los crecientes desafíos que enfrentan los sistemas electorales.
La Def Con de este año dejó en claro que la fusión de tecnología, seguridad e información falsa continúa influyendo en las conferencias y las iniciativas de ciberseguridad.
ⓒ 2023 . .
