Recientemente, ESET Latinoamérica, advirtió sobre un fallo de seguridad en iOS 12.0.1 que permite a un atacante, con acceso físico al teléfono, evadir la clave de acceso, acceder al álbum de fotografías y enviarlas a través de un mensaje. Un video comprueba el hecho.
¿En qué consiste particularmente? Un desconocido con acceso físico al dispositivo, puede sin demasiado esfuerzo evadir la clave de acceso, acceder al álbum de fotografías del dispositivo y enviarlas a través de Apple Message.
PUBLICIDAD
Apple está al tanto de la existencia de este fallo, tal como lo menciona este reporte. Sin embargo, el tema sigue generando preocupación entre los usuarios de iPhone ante el evidente riesgo que sufre su información personal.
Puntualmente el fallo está en la posibilidad de aprovecharse de Siri y VoiceOver para quebrantar la autenticación del dispositivo. “La vulnerabilidad está presente en todos los modelos de iPhone, incluyendo iPhone X y XS, que estén funcionando con la última versión del sistema operativo de Apple”, dicen de ESET.
El video está circulando por la red, de modo que es importante tomar los resguardos correspondientes. También se ha publicado una lista con los pasos que sigue el analista:
1. El iPhone a desbloquear tiene que recibir una llamada telefónica.
2. Pulsar sobre contestar por SMS.
3. Teclear en el campo del mensaje.
4. Pedirle a Siri que active VoiceOver.
5. Pulsar en el ícono de la cámara.
6. Es necesario hacer coincidir un par de toques sobre la pantalla mientras se comunica con Siri.
7. Cuando la pantalla se queda en negro, se desliza el dedo desde abajo hacia la esquina superior izquierda hasta que VoiceOver mencione “fototeca”.
8. Se dan dos toques más en la pantalla.
9. Se pulsa sobre la solapa de la App de Mensajes y se mueve el dedo hacia arriba hasta que VoiceOver lea las características de cada foto.
10. Una vez que se pulsa dos veces sobre cada foto, se previsualizan en pantalla a pesar de estar el iPhone bloqueado, mientras se añaden a la caja de texto.
¿Qué alternativa queda? Evidentemente mantenerse al día con las últimas actualizaciones, puesto que la vulnerabilidad ha sido presentada como CVE-2018-4380 y Apple ya tiene conocimiento de ella. Así mismo, desde ESET dicen lo siguiente:
Se recomienda a todos los usuarios tener cuidado y no dejar su teléfono al alcance de terceros, ya que la única manera de explotar la vulnerabilidad es teniendo acceso físico al dispositivo. La prevención es una de las claves principales para mantenerse a salvo de las amenazas en la red, además, contar con una solución que proteja nuestros equipos móviles