Un entusiasta de la seguridad que descubrió una Vulnerabilidad de bypass de contraseña en iOS 12 de Apple a fines del mes pasado, ahora se ha eliminado otro error de omisión de contraseña que funciona en el último iOS 12.0.1 que se lanzó la semana pasada.

José Rodríguez, un investigador de seguridad amateur español, descubrió un error en iOS 12 a fines de septiembre que permite a los atacantes con acceso físico a su iPhone acceder a sus contactos y fotos.

El error se parchó en iOS 12.0.1, pero ahora descubrió un truco de bypass de contraseña de iPhone similar que funciona en 12.0.1 y es más fácil de ejecutar que el error que Rodríguez descubrió e informó hace dos semanas.

El nuevo truco permite que cualquier persona con acceso físico a tu iPhone bloqueado pueda acceder a tu álbum de fotos, seleccionar fotos y enviarlas a cualquier persona que use los Mensajes de Apple.

Dado que el nuevo truco requiere mucho menos esfuerzo que el anterior, deja a cualquier usuario de iPhone vulnerable a un socio escéptico o desconfiado, a un colegio, amigo o compañero de habitación curioso que pueda acceder al álbum de fotos de su iPhone y capturar sus fotos privadas.

Aquí está cómo omitir la pantalla de bloqueo del iPhone para acceder a las fotos

Como se muestra en la demostración de video, el nuevo truco también aprovecha el lector de pantalla Siri y VoiceOver para atravesar las defensas de su teléfono, al igual que otros trucos de omisión de código de acceso similares.

El nuevo bypass de contraseña requiere aproximadamente 10 pasos para ejecutarse, de la siguiente manera:

  1. Llame al iPhone de destino desde cualquier otro teléfono (si no conoce el número de teléfono del objetivo, puede preguntarle a Siri «quién soy» o pedirle a Siri que realice una llamada a su número de teléfono dígito a dígito).
  2. No conteste la llamada contestándola, en lugar de tocar «Mensajes» (de manera predeterminada en iOS se enciende) y toque «Personalizar» para responder por mensaje de texto.
  3. Escriba cualquier palabra en el cuadro de mensaje de texto.
  4. Pídale a Siri que habilite VoiceOver, un servicio destinado a usuarios con discapacidad visual.
  5. Toque en el icono de la cámara.
  6. Invoca a Siri con el botón de inicio del iPhone y, al mismo tiempo, toca dos veces la pantalla del teléfono (no funciona y luego se repite muchas veces).
  7. Cuando la pantalla aparezca en negro, deslice el dedo en la pantalla hasta la esquina superior izquierda donde VoiceOver leerá en voz alta lo que ha seleccionado. Sigue deslizando hasta que VoiceOver lea «Biblioteca de fotos».
  8. Doble toque en la pantalla para seleccionar Photo Library. Esto lo llevará de regreso a la pantalla de mensajes, pero verá un espacio en blanco en el lugar del teclado. En realidad es una biblioteca de fotos invisible.
  9. Ahora deslice su dedo hasta que VoiceOver lea en voz alta las características de cada foto.
  10. Pulse dos veces una foto para mostrarla mientras agrega la imagen al cuadro de texto, que luego puede enviar a cualquier número.

El nuevo método de omisión de código de acceso funciona en todos los modelos actuales de iPhone, incluidos los dispositivos iPhone X y XS, ejecutando la última versión del sistema operativo móvil de Apple, es decir, iOS 12 a 12.0.1

Hasta que Apple presente un parche de seguridad, puede solucionar el problema temporalmente deshabilitando a Siri de la pantalla de bloqueo. Aquí es cómo deshabilitar Siri:

Vaya a Configuración → ID de rostro y contraseña (Touch ID y contraseña en iPhones con Touch ID) y deshabilite la opción Siri en «Permitir acceso cuando está bloqueado».

Por supuesto, deshabilitar Siri paralizaría tu experiencia con iOS 12, pero evitaría que los atacantes abusaran de la función y entraran en tu iPhone.

Mientras tanto, solo espere a que Apple emita una actualización de software para solucionar el nuevo error de omisión de la contraseña del iPhone tan pronto como sea posible.

Fuente: Thehackernews.com

Compartir