3 Graves fallos de seguridad de Siri en iOS 8 y anteriores [Vídeo, bug]


Vídeos del Barraquito es una de las personas que más bugs, agujeros y trucos descubre hoy en día en iOS. En el pasado Apple ya le ha reconocido su mérito en descubrir algunos problemas de seguridad que han corregido en nuevas versiones de su sistema operativo. Hoy hemos hablado él y nos ha hecho llegar información sobre nuevos problemas de privacidad que permiten acceder a información privada sin necesidad de saber la contraseña de desbloqueo de nuestro iPhone o iPad.

Vbarraquito Siri Notas
 
Por culpa de este agujero de seguridad, cualquiera puede publicar en nuestro perfil de Facebook, consultar los detalles de cualquier contacto de nuestra agenda e incluso leer todas las notas que tengamos almacenadas.

Publicidad

1. Cómo publicar en Facebook sin contraseña

Es tan sencillo como activar Siri desde la pantalla de bloqueo y decir «Publicar en Facebook». Diligente y obediente, Siri nos preguntará qué es lo que queremos publicar. Basta decirlo y ya tendremos una entrada de Facebook hecha sin necesidad de conocer la contraseña. Esto probablemente sirva para poco más que hacer una broma a algún amigo, pero el resto de cosas es bastante más grave.

Vbarraquito Siri Facebook

 

2. Cómo leer las notas sin contraseña

Si le decimos a Siri «Notas» nos presenta un listado con todas las notas que tenemos almacenadas en nuestro equipo. Si ahora le pedimos a Siri «Leer la nota» nos leerá en voz alta la primera y, si se lo pedimos, todas las demás. Si quieres ir directamente a una nota concreta sólo tienes que decir «Añadir a la nota», y Siri te permite elegir la nota a la que quieres añadir contenido y después te lo muestra en pantalla para que lo puedas leer. En el siguiente vídeo puedes ver cómo hacer todo esto. Este bug es muy grave, puesto que muchas personas guardan direcciones, claves y hasta números de tarjetas de crédito en las Notas de iOS.

 

3. Cómo acceder a cualquier contacto sin contraseña

Por último, como VBarraquito ya descubrió para iOS 7.1.1, en la beta 3 de iOS 8 sigue siendo posible acceder a un contacto de la agenda desde la pantalla de bloqueo. si le pides a Siri que llame a un contacto que no esté en la agenda. Por ejemplo, si le dices «Llamar a Eñe», Siri te dice que no tiene ningún contacto con ese nombre. Si ahora pulsas en la frase puedes editar manualmente el nombre del contacto. De este modo, si poner «Llamar a an» te aparecerán todos los contactos que contengan esas dos letras (todos los Antonios). Cambiando de letras se puede encontrar cualquier cosa que tengamos- Así que si tienes algo dentro de un contacto que se llama «Visa» o «Contraseña» ya puedes ir cambiándole el nombre.

Los tres bugs que os hemos contado ocurren en iOS 8 beta 3 y anteriores. Todos ocurren en iPhone y iPad salvo el tercero que es específico para iPhone al requerir la opción de llamada.

Siri se está convirtiendo en una auténtica piedra en el zapato para Apple en lo que a seguridad y privacidad se refiere. Es un tema complejo de difícil solución. Si queremos que Siri funcione desde la pantalla de bloqueo de forma sencilla y eficaz debe tener acceso a los datos interiores del equipo. Pero si lo hacemos, entonces cualquiera que tenga nuestra máquina en sus manos puede acceder del mismo modo a esa información. Quizás una forma de llegar a un equilibrio sería que se nos pida la contraseña de desbloqueo (o la huella en el caso de que tengamos Touch ID) si ha pasado cierto tiempo sin que la hayamos introduzcamos, por ejemplo 15 minutos. En todo caso, es un tema al que Apple debería dedicar más esfuerzo, porque lleva mucho tiempo siendo público y sigue sin resolverse.

Mientras tanto, puedes proteger tu equipo tomando las siguientes precauciones:

  • Ten siempre una clave de desbloqueo activada. Mejor aún si lo configuras de manera que te la pida siempre. Es algo más pesado si no tienes Touch ID pero aumenta la seguridad.
  • Si quieres eliminar completamente los problemas mencionados en este artículo puedes desactivar Siri en la pantalla de bloqueo, lo cual puedes hacer en Ajustes > Siri.
  • Si quieres seguir usando Siri desde la pantalla de desbloqueo, elimina los datos sensibles de Contactos y Notas. Te recomendamos que pases cualquier información sensible a otro servicio alternativo no accesible con Siri, por ejemplo Evernote.

Esperemos que si este bug se hace más conocido, Apple empieza a tomárselo en serio y tome medidas para resolverlo.

Vía: VBarraquito

Anterior 10 aplicaciones gratuitas por tiempo limitado (12-jul-14)
Siguiente Actualizaciones de la semana (13-jul-14)

7 Comentarios

  1. […] embargo, en muchos casos no es así. Todavía sigue siendo posible acceder al historial de llamadas, y ahora Videos de Barraquito ha […]

  2. […] fallos graves que no se pueden permitir en ningún producto que sale a disposición del usuario. Desde iPaderos nos enseñan tres fallos graves de seguridad en iOS 7 que no se conocían hasta ahora y que tienen […]

  3. […] que no se pueden permitir en ningún producto que sale a disposición del usuario. Desde iPaderos nos enseñan tres fallos graves de seguridad en iOS 7 que no se conocían hasta ahora y […]

  4. […] y deberían encontrar un punto de equilibrio que guste a todos. Desde luego, como dicen en iPaderos, aquí está nuestro granito de arena para que Apple se entere y lo solucione lo más rápidamente […]

  5. […] y deberían encontrar un punto de equilibrio que guste a todos. Desde luego, como dicen en iPaderos, aquí está nuestro granito de arena para que Apple se entere y lo solucione lo más rápidamente […]

  6. […] una app de notas segura como Evernote o similares. Hoy por hoy, no uses las Notas de iOS que son accesibles a través de Siri sin tener la clave de desbloqueo del iPad o iPhone. Gracias a este listado tendrás siempre a mano todas las contraseñas para consultarlas en […]