Photo: Getty

Poco despu√©s de que Apple lanzara iOS 12.1 este martes, un investigador de seguridad espa√Īol descubri√≥ un error que permite explotar las llamadas grupales de Facetime para acceder a la agenda de contactos del iPhone sin necesidad de introducir el c√≥digo de desbloqueo.

Jose Rodriguez descubrió el fallo de iOS y envió la información a Hacker News. En este video, el investigador demuestra cómo funciona el exploit. Gizmodo ha verificado que todas las condiciones que describe son legítimas.

Advertisement

Un atacante necesitaría acceso físico al teléfono y seguir una serie de pasos para poder la información de la agenda de la víctima. Tendría que llamar al teléfono desde otro iPhone o hacer que el teléfono se llame a sí misma. Después solo tendría que:

  • Pulsar el bot√≥n de Facetime
  • Seleccionar ‚ÄúA√Īadir persona‚ÄĚ
  • Pulsar el bot√≥n +
  • Desplazarse por los contactos y usar Touch ID sobre un nombre para ver toda la informaci√≥n almacenada en la agenda del tel√©fono.

Advertisement

Para hacer la llamada sin ingresar el c√≥digo de desbloqueo basta con dictarle a Siri el n√ļmero de tel√©fono o decirle ‚Äúllama a mi tel√©fono‚ÄĚ. Lo probamos tanto con la voz del propietario del iPhone como con la voz de un extra√Īo y, en ambos casos, Siri inici√≥ la llamada.

No se trata de un fallo de seguridad crítico y, de hecho, un atacante tendría varios obstáculos para lograr que este exploit le sea de alguna utilidad. Pero el fallo podría poner en riesgo a las víctimas de abuso doméstico o a disidentes políticos. Un hacker con un objetivo serio podría utilizar la información sobre los contactos de la víctima para crear un ataque más elaborado a través de técnicas como el phishing.

Nos hemos puesto en contacto con Apple para comentar el problema, pero no hemos recibido respuesta. Ya habíamos visto métodos prácticamente idénticos para omitir la pantalla de bloqueo en versiones anteriores de iOS y no hay mucho que alguien pueda hacer al respecto hasta que Apple decida agregar una solución en futuras actualizaciones. Hasta entonces, puedes deshabilitar Siri para agregar un nivel adicional de protección, pero eso no resolverá el problema.

Advertisement

[videosdebarraquito, The Verge, The Hacker News]