El grave fallo de seguridad de iPhone: basta con saltarse el PIN para espiar tus fotos

Un hacker demuestra cómo un ciberdelincuente puede coger el terminal, burlar la seguridad del código de desbloqueo, acceder al álbum de fotos, seleccionar y enviar las que quiera a otro dispositivo

Actualizado:

Ni el PIN, Touch ID o Face ID impedirán que cualquier persona pueda acceder a las fotos de tu iPhone. Así lo demuestra un nuevo vídeo colgado en Youtube, que demuestra una vez más cómo iOS 12.0.1, lanzada recientemente para corregir ciertos problemas, sigue teniendo graves agujeros de seguridad.

Tal y como puede verse en el vídeo, una persona puede coger el iPhone, burlar la seguridad del código de desbloqueo, acceder al álbum de fotos, seleccionar y enviar las que quiera a otro iPhone o iPad.

Tal y como publica «AppleInsider», el hacker experto en iOS, José Rodríguez, descubrió el viernes este error de seguridad que se encuentra en la combinación de Siri y VoiceOver, de tal manera que piratas informáticos pueden ver las fotos del iPhone y enviarlas a otro dispositivo.

El método es muy sencillo: basta con el que atacante tenga su dispositivo personal y un iPhone como «víctima». Según ha explicado Rodríguez a «AppleInsider», el iPhone recibe una llamada de un número externo, lo que activa un diálogo de llamada estándar de iOS. Si el atacante no conoce el número de iPhone de destino, puede adquirir información de identificación de llamada con Siri, pidiéndole al asistente que llame a su teléfono personal dígito a dígito.

En el vídeo, Rodríguez toca la opción «Mensaje» en la pantalla de llamadas de iOS y selecciona «Personalizado» para mostrar la interfaz de usuario de Mensajes. Después de meter algunas letras al azar en el cuadro de texto, una vez más llama a Siri para activar VoiceOver.

Al regresar a «Mensajes», Rodríguez toca el icono de la cámara y, mientras llama a Siri con el botón lateral del iPhone, toca la pantalla dos veces para activar lo que parece ser un conflicto de sistema. «Si bien este paso en particular debe realizarse con un cierto nivel de precisión, un atacante puede repetir el proceso varias veces hasta que se logre el efecto deseado», asegura la publicación.

Una vez que consigue que la pantalla se queda en negro, el atacante desliza se desliza el dedo hacia la izquierda hasta que VoiceOver lleva al atacante a la «Biblioteca de fotos», que, cuando se selecciona con un doble toque, regresa a la aplicación Mensajes.

VoiceOver permite, así, el acceso invisible a las fotos. Al desplazarse por la biblioteca de fotos, que aparentemente está oculta por la interfaz de usuario de «Mensajes», y al tocar dos veces en una foto determinada, se inserta la imagen en el cuadro de texto «Mensajes». ¿El resultado? Se pueden insertar, ver y enviar varias fotos.

Según «AppleInsider», este error de seguridad se da en los modelos de iPhone actuales, incluidos los dispositivos iPhone X y XS, que ya tienen la última versión de iOS, la 12.0.1.

Apple está al tanto de la existencia de este fallo y se espera que en breve lance una actualización para repararlo. «Desde ESET se recomienda a todos los usuarios tener cuidado de no dejar su teléfono al alcance de terceros, ya que la única manera de explotar la vulnerabilidad es teniendo acceso físico al dispositivo. La prevención es una de las claves principales para mantenerse a salvo de las amenazas en la red pero si, además, contamos con una solución que proteja nuestros equipos móviles, podremos disfrutar de la tecnología de manera segura», afirma Camilo Gutiérrez, jefe del laboratorio de ESET Latinoamérica.