21 nov 2016

Fallo en iOS permite acceso sin PIN

Acaban de descubrir un fallo de seguridad en iOS por medio del cual cualquier atacante podría acceder a nuestros contactos y fotografías sin necesidad de introducir el PIN de desbloqueo en el terminal de Apple.

Por medio de este fallo de seguridad los poseedores de un iPhone podrían ver vulnerada su privacidad, ya que una persona con no demasiadas buenas intenciones, podría acceder a diversos datos almacenados en el terminal sin necesidad de conocer el PIN del mismo. Los usuarios que han descubierto este fallo, "EverythingApplePro" y "iDeviceHelps" aseguran que es algo que se viene produciendo desde la versión 8 de iOS en adelante, incluyendo la última 10.2 beta 3. Para llevar a cabo esta "violación", el atacante podría acceder a nuestra agenda y fotografías de nuestro iPhone tan solo utilizando Siri (video).

Para empezar diremos que el proceso no es nada sencillo, tal y como podemos ver en el vídeo, y además el usuario malintencionado necesita tener el teléfono de Apple en su poder un buen rato para llevar a cabo los pasos que le permitirían saltarse el bloqueo y poder acceder a nuestros datos personales.


Básicamente, el proceso se basa en realizar una serie de pasos a través de Siri que permiten al atacante obtener el número de teléfono del propietario para efectuar una llamada y de esta forma acceder a la interfaz de iMessage. Tras esto y haciendo uso del asistente de voz del iPhone, se activa la función VoiceOver, que se trata de una característica de iOS para personas con discapacidad visual y que enuncia en voz alta los elementos existentes en la pantalla, todo ello para poder ver los contactos personales y las fotos almacenadas.

Este bug ya se ha comunicado a la compañía, por lo que es de esperar que lo solucionen en breve en un próxima actualización del sistema operativo. Por el momento todos aquellos usuarios que dispongan de un terminal móvil de Apple y que sean especialmente cuidadosos con los datos almacenados en el mismo como sus fotografías o contactos, pueden poner una solución temporal para evitar posibles disgustos. Para que nadie pueda acceder a estos contenidos de manera ilegítima, basta con que desactivemos a Siri, al menos hasta que la compañía solucione en error suponemos que en un breve espacio de tiempo.

Fuente: Adslzone

Suscríbete a nuestro Boletín

3 comentarios:

  1. Los títulos como siempre un poco exagerados :) Este fallo (que de hecho no es la primera vez que se logra cierto tipo de acceso mediante Siri) no permite acceso (completo, como uno pensaría al leerlo) sin pin, y ni siquiera "atacante podría acceder a nuestros mensajes, fotografías y contactos", sino que "sólo" a fotos y contactos, los mensajes no están afectados.

    ResponderBorrar
  2. En un iphone que probamos la vulnerabilidad, nos permitió enviar mensajes de texto...

    ResponderBorrar
    Respuestas
    1. No se obtiene acceso a los mensajes almacenados en el dispositivo, a diferencia de las fotos y contactos. Enviar nuevos mensajes, sí se puede.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!