El experto en seguridad José Rodríguez ha descubierto una vulnerabilidad de iOS 15 que le permite omitir la contraseña del iPhone y abrir la aplicación Notas. Se utiliza para esta función VoiceOver y un conjunto de acciones secuenciales.
El especialista en seguridad publicó un video en YouTube que muestra cómo funciona el exploit en iOS 14.8 e iOS 15. Primero, le pidió a Siri que cambiara a VoiceOver y abriera Notes. Se abrió una nota en blanco sin contenido personalizado. Luego, el especialista abrió el Centro de control y llegó a Notes a través de él.
Esta vez, las notas antiguas ya se han mostrado en la aplicación. Con VoiceOver, puede copiar el contenido de una nota y exportarlo a otro iPhone a través de un mensaje. Para enviar un mensaje sin ingresar una contraseña, necesita una llamada entrante o un mensaje.
Afortunadamente, la vulnerabilidad tiene varios matices. Primero, un atacante necesitará acceso físico a su teléfono inteligente. En segundo lugar, Siri debe funcionar en el teléfono inteligente, debe haber acceso al Centro de control en la pantalla bloqueada y el Centro de control debe tener íconos de Notas y Reloj. Para copiar sus datos, un atacante debe conocer su número de teléfono. Si la nota está protegida con contraseña por separado, el truco no funcionará.
En el pasado, este mismo especialista en seguridad ya encontró la vulnerabilidad de Notes, por la que Apple le pagó 25.000 dólares. Esta vez, eligió subir el exploit a YouTube en lugar de enviarlo a Apple. Quiere llamar la atención sobre cómo Apple subestima este tipo de trabajo.
Será extremadamente difícil usar este exploit en tu contra, pero por si acaso, para protegerte, puedes desactivar Siri temporalmente. Apple solucionará el problema en breve.
Ver similar
iOS 15
