Hace unos años entrevistamos a José Rodríguez, más conocido como videosdebarraquito, un especialista en encontrar bugs que permitan acceder a información privada desde un iPhone bloqueado. De una manera u otra, José siempre utiliza Siri para acceder a datos privados sin conocer el número de desbloqueo de un iPhone… en el pasado ha encontrado muchas vulnerabilidades que Apple ha regado a agradecerle en la lista de cambios, como corresponde cuando se es el primero en encontrar una vulnerabilidad de este tipo.
Lo curioso es que a pesar del tiempo que pasa, y vamos ya por iOS 12, Apple nunca consigue atar del todo estos problemas provocados por el hecho de tener el asistente virtual activado en la pantalla de bloqueo. Anteriores problemas que encontró eran debidos también al asistente en la pantalla de bloqueo. Apple ha ido corrigiendo este tipo de accesos indebidos, pero parece que aún quedan métodos para entrar y videosdebarraquito es el lugar en donde acaban publicándose. En este vídeo, podemos ver todo los pasos que sigue para, utilizando VoiceOver desde la pantalla de bloqueo, acceder a datos de contactos de la agenda o fotos del carrete, y todo sin desbloquear el iPhone en ningún momento. José empieza pidiendo a Siri que active VoiceOver. Es precisamente estar ajuste de accesibilidad que permite navegar por los diferentes botones y menús a personas con deficiencias visuales lo que permite, después de una larga lista de complicados pasos, acceder a datos privados sin permiso.
Esta secuencia es realmente complicada, y es muy poco probable que alguien con acceso físico a tu iPhone tenga tanto tiempo (y ganas) como para sacar alguna foto o número de teléfono/email de un contacto, pero no por eso deja de ser imposible.
La única manera de evitar que alguien pueda hacer algo así con tu iPhone, es desactivar Siri en la pantalla de bloqueo, un consejo que llevamos años dándoos porque está claro que Apple todavía necesita trabajar con más ganas en la integración de Siri con pantalla de bloqueo, para evitar problemas así. Si hubiera la más mínima posibilidad de que una secuencia de pasos pueda llevar a un usuario sin clave a acceder a la agenda de contactos o fotos, videosdebarraquito la encontrará
[…] ya utilizó Siri y VoiceOver en la pantalla de bloqueo para encontrar un fallo de seguridad similar hace sólo unos pocos días. Probablemente, Apple […]
[…] ya utilizó Siri y VoiceOver en la pantalla de bloqueo para encontrar un fallo de seguridad similar hace sólo unos pocos días. Probablemente, Apple […]