Menú principal

viernes, 20 de noviembre de 2015

Saltar pantalla de bloqueo con Siri: Tu privacidad cuenta

Realizar un bypass de la pantalla de bloqueo de iOS con Siri es un problema creciente y que afecta a la privacidad de los usuarios de iOS. En menos de 30 segundos, cualquier persona con acceso a un dispositivo iPhone o iPad puede extraer gran cantidad de datos personales utilizando Siri, según informa la empresa Trend Micro. El proveedor de seguridad ha dado la voz de alarma sobre algo que hemos podido ver diversas veces en Seguridad Apple. Cualquier persona con acceso físico a un dispositivo iOS puede interactuar con Siri y de una manera sencilla extraer datos, aunque el dispositivo se encuentre bloqueado.

Los investigadores de Trend Micro han clasificado en 30 segundos lo necesario para extraer nombres, números de teléfono o entradas del calendario, incluso enviar a una cuenta de redes sociales contenido, desde un dispositivo de iOS bloqueado usando, simplemente, comandos de voz. Los investigadores indican que un dispositivo bloqueado nunca debe revelar información sobre la identidad y el contacto del propietario, y menos información sobre los amigos y personas de contacto del propietario. Siri no bloquea esto y proporciona información detallada y otras funciones en un dispositivo bloqueado.

Figura 1: Creación de una reunión con Siri

En Seguridad Apple hemos hablado de diversos casos en los que Siri ayudaba a conseguir información o realizar acciones con el dispositivo, como por ejemplo cuando Siri nos deja usar el iPhone aún con el passcode.Incluso algún bug que permitía a Siri desactivar Find my iPhone, por lo que si tu dispositivo era robado tendrías un problema para encontrarlo. También hemos hablado sobre su configuración y los peligros que aporta, por lo que te recomendamos la lectura de esta información.

Figura 2: Siri activando el modo avión del terminal

No es la primera vez que se demuestra cómo aprovecharse de Siri para extraer este tipo de información, pero parece que no hay intención por parte de Apple de ofrecer una solución ante este hecho. Estos debates ocurren desde que Siri fue introducido por primera vez en iOS. El objetivo de Trend Micro es el de recordar a los usuarios de iPhone e iPad que cada vez son más los vectores que están disponibles para que un atacante consiga extraer información del sistema. En este artículo tienes un ejemplo en el que se usa Siri para robar una cuenta de correo con ingenio.

Figura 3: Averiguar el correo del dueño de un iPhone con Siri

Además, una reciente investigación de la Agencia ANSSI ha mostrado cómo Siri y otros asistentes digitales como el de Google se pueden controlar de forma remota mediante ondas electromagnéticas. Utilizando un transmisor de radio barato se podría emitir comandos a Siri y a Google Now hasta a 18 pies de distancia. En el libro de la editorial 0xWord Hacking de dispositivos iOS: iPhone & iPad puedes encontrar más información detallada sobre estos ataques.

2 comentarios:

  1. Y a parte de desactivar Siri, hay algún medio de evitarlo?

    ResponderEliminar
  2. Me imagino que es eso en lo que ha fallado Apple. Hasta el momento, no he encontrado ninguna

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares