El día 19 de
septiembre saldrá la versión 13 del sistema operativo de Apple para móviles
iOS. En principio parecen buenas noticias pero cuidado, iOS 13 contiene una
vulnerabilidad que podría permitir eludir la protección de la pantalla de
bloqueo de tu iPhone y acceder a información confidencial.
Jose
Rodríguez, un investigador de seguridad español, se puso en contacto con The
Hacker News y reveló que descubrió un error que permite saltar las
restricciones de la pantalla de bloqueo de iOS 13 dejando acceder a la lista
completa de contactos de iPhone, así como a la información guardada de los
mismos.
Mediante VoiceOver puedes navegar por
mucho contenido del iPhone a partir de ese agujero, incluso puedes llegar a
conocer a qué Apple ID está vinculado el iPhone..
Lo reporté a Apple y Apple lo arregló
sin decir nada, sin mencionarlo en el contenido de seguridad de iOS 12.1.1
https://t.co/H4mOyrnzx5
— Jose Rodriguez (@VBarraquito)
December 5, 2018
Jose
comunicó a The Hacker News que descubrió el nuevo error en la pantalla de
bloqueo de su iPhone que ejecuta la versión beta de iOS 13 y lo reportó a Apple
el 17 de julio.
Sin embargo,
Apple no reparó el error incluso después de haber sido informado hace meses, y
el bypass sigue siendo posible de ejecutar en la versión Gold Master (GM) de
iOS 13, la versión final del software que se lanzará el próximo 19 de
septiembre.
¿Cómo
funciona el bloqueo de pantalla de iOS 13 en el iPhone?
El error
permite a cualquier persona con acceso físico al iPhone de un objetivo engañar
al smartphone para que le conceda acceso a la lista completa de contactos
almacenados, así como información detallada para cada contacto individual,
incluidos sus nombres, números de teléfono y correos electrónicos, todo ello
utilizando únicamente una llamada de FaceTime.
Este último
hack de bloqueo de pantalla de iPhone es similar al que Rodríguez descubrió el
año pasado en iOS 12.1, que permite saltarse la pantalla de bloqueo de un
iPhone específico utilizando la función integrada VoiceOver.
Para demostrar
el nuevo bug, Rodríguez compartió un video con ‘The Hacker News’, demostrando
cómo funciona el hack y lo simple que es incluso para cualquier usuario que no
entienda mucho de nuevas tecnologías.
El error
consiste en realizar una llamada de FaceTime en el iPhone del objetivo y luego
acceder a la función VoiceOver de Siri para obtener acceso a la lista de
contactos, así como a toda la información guardada de estos contactos.
Sin embargo,
es probable que Apple repare este problema en la próxima versión iOS 13.1, que
se espera que llegue al público el 30 de septiembre. Todos los usuarios
deberían parchear sus dispositivos iPhone a finales de mes.
Hasta
entonces, se recomienda a los usuarios de iPhone que no dejen su teléfono
desatendido, al menos en lugares públicos y de trabajo.
Más
información
Bypass
similar del año pasado:
Fuente:
Hispasec
