Investigadores de seguridad han descubierto una nueva vulnerabilidad en Apple que permite a terceras personas burlar el bloqueo inicial de pantalla del iPhone para ingresar sin autorización al contenido de los dispositivos de sus usuarios. Para hacerlo, los atacantes aprovechan una falla en Siri, el asistente para realizar tareas en iPhone.
El método consiste en ingresar una contraseña incorrecta varias veces, hasta que el intento final se invoque a Siri de inmediato para preguntarle la hora. Desde la aplicación de reloj, el atacante puede seleccionar el campo “Escoger ciudad” y compartirlo mediante la aplicación de mensajería.
Una vez en la aplicación de mensajería, el intruso tiene la opción de adjuntar imágenes al mensaje o agregar un contacto nuevo a su dispositivo. Esto le da acceso a la galería de imágenes completa del teléfono, desde donde puede ver en detalle cada imagen individual y a la lista de contactos del usuario, que contiene la información personal de sus conocidos.
Por fortuna, el acceso que se consigue es sólo parcial, y se limita al contenido que se puede compartir en un mensaje mediante la aplicación iMessage. El resto del contenido del equipo se mantiene inaccesible para los atacantes.
El problema está confirmado en la versión 9.0.1 de iOS. En teoría, siguiendo estos y otros pasos, el atacante puede obtener acceso al contenido del teléfono en menos de 30 segundos. Sin embargo, el método requiere que se realicen movidas específicas en tiempos precisos, lo que lo hace complejo y lo quita del alcance de cualquier hacker novato.
Los investigadores de seguridad que descubrieron la amenaza han publicado un video detallando el ataque. Sin embargo, así como muchas personas han confirmado que el método de intrusión es exitoso, muchas otras han fallado en el intento. No se sabe si esto se debe a diferencias en la configuración de los equipos o a que la complejidad del proceso de intrusión hace que no cualquier usuario sea capaz de explotar la vulnerabilidad.
Las buenas noticias son que el problema no es difícil de controlar: los usuarios de Apple que quieran protegerse de este tipo de ataques pueden configurar su equipo para que bloquee el acceso a Siri cuando la pantalla esté bloqueada. Esto puede utilizarse como solución temporal mientras Apple desarrolla un parche para esta amenaza.
Fuentes
Investigadores de seguridad utilizan Siri para burlar el bloqueo de seguridad de iPhones