Agujero de seguridad de iOS 13 permite acceder a los contactos sin desbloquear el teléfono
Los nuevos iPhone 11 llegarán al mercado la próxima semana, y con ellos, la nueva versión de iOS 13. ¿El problema? Parece que los flamantes teléfonos no vendrán libres de problemas, ya que tal y como podrás ver en el siguiente vídeo, un agujero de seguridad permite acceder a los contactos y toda la información de cada uno de ellos sin necesidad de desbloquear el teléfono.
iOS 13 y el agujero de seguridad de los contactos
Los detalles sobre este agujero de seguridad llegan a través de un viejo conocido. Jose Rodriguez es un experto en esto de hacer bypass a la pantalla de bloqueo del iPhone, ya que a través de su canal de YouTube VideosdeBarraquito, lleva muchísimos años puliendo la seguridad de la pantalla de bloqueo de iOS demostrando diferentes métodos para saltársela.
En esta ocasión, Jose ha conseguido evitar la protección de bloqueo parcialmente, ya que, aunque no ha llegado a la pantalla de inicio del dispositivo, sí ha podido revisar al completo la lista de contactos de un iPhone bloqueado.
El proceso comienza con una llamada de Facetime sobre el terminal al que queremos atacar. Obviamente necesitaremos tener el terminal en nuestras manos y el número del mismo para poder realizar la llamada. Una vez que la llamada se reciba, la cancelaremos con el método de enviar un mensaje, seleccionando posteriormente la opción de mensaje personalizado.
En ese momento nos aparecerá la interfaz de enviar mensajes con el teclado virtual, y será ahí cuando activemos la función que desencadenará el bypass. El secreto no es otro que activar VoiceOVer, la función de lectura de pantalla integrada en iOS y que permitirá editar el campo del contacto al que queremos enviar el mensaje.
Para activar VoiceOver utilizaremos a Siri, y con la función en marcha, sólo habrá que pinchar en el campo de enviar “a:” para colocar el puntero de edición del texto sobre él. Este cursor de texto no aparecerá visible, pero existirá, ya que, si volvemos a desactivar VoiceOver con Siri, podremos ver cómo seremos capaces de introducir un nuevo contacto en el campo de enviar.
A partir de ahí todo está hecho. Sólo tendremos que escribir cualquier carácter para que aparezca un listado de contactos que lo incluyan (en el vídeo utiliza la @ para mostrar todos los correos registrados en la lista de contactos). Lo mejor (o lo peor) es que podremos entrar en los detalles de cada contacto, pudiendo ver la foto del perfil y todos los detalles de su ficha, incluyendo correo electrónico, sus números de teléfono y todos los detalles que tenga ese contacto registrado.
Apple estaba informada
Lo peor del asunto es que Jose había informado a Apple de este error el pasado 17 de julio al ver que la beta de iOS 13 presentaba este agujero de seguridad. En Apple parece que han debido de tener mucho trabajo, ya que este aviso no ha entrado todavía en la bandeja de tareas a realizar, por lo que ya veremos si una actualización rápida lo corrige. Por el momento, los nuevos iPhone 11 serían vulnerables a este error.