3 graves problemas de seguridad provocados por Siri siguen comprometiendo información privada

Hace unos meses os contamos cómo es posible acceder a datos privados en un iPhone que esté configurado con una contraseña en la pantalla de bloqueo. Para conseguirlo, se utiliza Siri. Por alguna razón, en Apple no deben considerar que esto es un problema, quizás porque es posible desactivar Siri en la pantalla de bloqueo. En teoría, cuando se pide información privada a Siri en un iPhone bloqueado con contraseña, te pide que desbloquees el iPhone primero, y si le pides que lo haga a ella, ésta es la respuesta;

Sin embargo, en muchos casos no es así. Todavía sigue siendo posible acceder al historial de llamadas, y ahora Videos de Barraquito ha compartido con nosotros tres métodos más que permiten conseguir información privada de un iPhone con contraseña si Siri está disponible en la pantalla de bloqueo. Estos tres errores permiten publicar algo en la cuenta de Facebook del usuario de ese iPhone, leer las notas que tenga escritas en la App de notas o acceder a la información que tengamos guardada en su agenda de contactos.

Notas desde Siri

Si llamamos a Siri dejando el botón Home pulsado en la pantalla de bloqueo, y decimos Publicar en Facebook, podremos actualizar la biografía de ese usuario en esta red social sin conocer la contraseña de desbloqueo de ese iPhone. Todo un WTF.

Publicando en Facebook sin permiso gracias a Siri

La verdad, es que nos sorprende mucho que Apple piense que esto es aceptable. Siri debe pedir primero desbloquear el iPhone antes de proceder a permitir publicar lo que sea en cualquier parte. Sí, se puede configurar iOS para que Siri no sea utilizable en la pantalla de bloqueo, pero muchos usuarios no tendrán esto en cuenta cuando lo dejen activado en ese lugar y es importante que si dejas iOS configurado así, cualquier persona podrá publicar lo que quiera en tu Facebook.

Para continuar con este desaguisado, desde Siri es posible acceder al contenido de la App de Notas sin saber la contraseña del iPhone. Simplemente tenemos que decirle Notas a Siri, y después leer la nota. Tras eso, podremos leer todas las demás notas o elegir una para ver en pantalla, tal y como podemos ver en este video.

Este error es grave también porque aunque no se debería hacer, hay muchos que guardan en su App de notas información comprometedora como contraseñas de cuentas o números de tarjetas de crédito, por ejemplo.

Por último, es posible también acceder a los contactos de la Agenda si le pedimos a Siri que llame a alguien que no existe en la misma desde la pantalla de bloqueo. En ese punto, podemos editar manualmente la frase de la petición para buscar por las iniciales de alguien, por ejemplo si tecleamos jo saldrán todos los Joses de la Agenda. Por esta razón, si tienes contactos en la agenda con información importante, como tarjetas de crédito o contraseñas, es mejor que los borres de la misma. De nuevo, al igual que ocurre con la App de Notas, no son lugares adecuados para guardar ese tipo de información aunque el número de teléfono o email de una persona que conozcamos ya nos parece lo suficientemente privado como para suponer un problema de seguridad importante.

Todos estos errores están disponibles en iOS 8 beta 3, la última versión hasta la fecha. Excepto el de las llamadas, todos funcionan también en cualquier modelo de iPad que tenga Siri.

En iPaderos te explicamos cómo paliar en la medida de lo posible todos estos problemas de seguridad hasta que en Apple decidan qué hacer con ellos.

2 Comentarios

    • @Nico funciona perfectamente si sigues los pasos que indica el artículo. Por ejemplo, si pulsas en la lista de notas te pide clave pero si le pides que te la lea como indicamos en el artículo te la lee. Luego se puede publicar en Facebook o Twitter sin problemas. Antes de dejar el comentario, por favor comprueba bien las cosas. Gracias.

Dejar respuesta

Teclea aquí tu comentario
Introduce aquí tu nombre