5 de abril de 2014

iOS 7. Fallo permite anular la función de "Buscar mi iPhone"

Se ha descubierto un fallo en iOS 7.1 (la última versión del software para iPhone o iPad) que podría permitir anular la función de encontrar el teléfono (o la tableta) en caso de pérdida o robo.
 El fallo, reportado por Miguel Alvarado (@idevicehelpus) puede permitir a cualquiera con acceso físico al dispositivo borrar la cuenta iCloud del propietario sin necesidad de escribir la contraseña.
Detalle e Impacto de la vulnerabilidad
  •  El proceso consiste en acceder al panel de iCloud en Ajustes y pulsar "Eliminar Cuenta" mientras se deseactiva la opción de "Buscar mi iPhone". Ambas acciones deben realizarse de forma simultánea, en caso de activar el error el teléfono muestra dos cuadros de diálogo ninguno de los cuales pueden emplearse realmente.
  •  Tras ello, solo falta reiniciar el teléfono, volver a las opciones de iCloud en Ajustes y eliminar la cuenta, en esta ocasión ya no se preguntará la contraseña.
  • Se ha publicado un vídeo en el que muestra todo el proceso (https://www.youtube.com/watch?v=Lvbter05UpA )
Más información:
Fuente: Hispasec