Se ha descubierto un fallo en iOS 7.1 (la última versión del software
para iPhone o iPad) que podría permitir anular la función de encontrar el
teléfono (o la tableta) en caso de pérdida o robo.
El fallo, reportado por Miguel
Alvarado (@idevicehelpus) puede permitir a cualquiera con acceso físico al
dispositivo borrar la cuenta iCloud del propietario sin necesidad de escribir
la contraseña.
Detalle e Impacto de la vulnerabilidad
- El proceso consiste en acceder al panel de iCloud en Ajustes y pulsar "Eliminar Cuenta" mientras se deseactiva la opción de "Buscar mi iPhone". Ambas acciones deben realizarse de forma simultánea, en caso de activar el error el teléfono muestra dos cuadros de diálogo ninguno de los cuales pueden emplearse realmente.
- Tras ello, solo falta reiniciar el teléfono, volver a las opciones de iCloud en Ajustes y eliminar la cuenta, en esta ocasión ya no se preguntará la contraseña.
- Se ha publicado un vídeo en el que muestra todo el proceso (https://www.youtube.com/watch?v=Lvbter05UpA )
- Delete iCloud Account from iPhone without Password iOS 7.1 https://www.youtube.com/watch?v=Lvbter05UpA