Un fallo en la última versión de iOS expone datos personales desde la pantalla de bloqueo

Poco después de que Apple lanzara iOS 12.1 este martes, un investigador de seguridad español descubrió un error que permite explotar las llamadas grupales de Facetime para acceder a la agenda de contactos del iPhone sin necesidad de introducir el código de desbloqueo.

Jose Rodriguez descubrió el fallo de iOS y envió la información a Hacker News. En este video, el investigador demuestra cómo funciona el exploit. Gizmodo ha verificado que todas las condiciones que describe son legítimas.

Un atacante necesitaría acceso físico al teléfono y seguir una serie de pasos para poder la información de la agenda de la víctima. Tendría que llamar al teléfono desde otro iPhone o hacer que el teléfono se llame a sí misma. Después solo tendría que:

  • Pulsar el botón de Facetime
  • Seleccionar “Añadir persona”
  • Pulsar el botón +
  • Desplazarse por los contactos y usar Touch ID sobre un nombre para ver toda la información almacenada en la agenda del teléfono.

Para hacer la llamada sin ingresar el código de desbloqueo basta con dictarle a Siri el número de teléfono o decirle “llama a mi teléfono”. Lo probamos tanto con la voz del propietario del iPhone como con la voz de un extraño y, en ambos casos, Siri inició la llamada.

No se trata de un fallo de seguridad crítico y, de hecho, un atacante tendría varios obstáculos para lograr que este exploit le sea de alguna utilidad. Pero el fallo podría poner en riesgo a las víctimas de abuso doméstico o a disidentes políticos. Un hacker con un objetivo serio podría utilizar la información sobre los contactos de la víctima para crear un ataque más elaborado a través de técnicas como el phishing.

Nos hemos puesto en contacto con Apple para comentar el problema, pero no hemos recibido respuesta. Ya habíamos visto métodos prácticamente idénticospara omitir la pantalla de bloqueo en versiones anteriores de iOS y no hay mucho que alguien pueda hacer al respecto hasta que Apple decida agregar una solución en futuras actualizaciones. Hasta entonces, puedes deshabilitar Siri para agregar un nivel adicional de protección, pero eso no resolverá el problema.

[videosdebarraquitoThe VergeThe Hacker News]

Con información de Gizmodo

Ayuda a mantener en línea nuestro WebServer. Te necesitamos para poder seguir haciendo publicaciones y seguir generando contenido.

Be the first to comment

Leave a Reply

Your email address will not be published.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.