Una investigación deja al descubierto lo fácil que es hackear un iPhone y consultar información privada. Sólo es necesario conocer una serie de comandos de voz.
Si alguien echaba de menos la polémica relacionada con iOS o Android que deje de hacerlo ahora mismo, porque hoy empezamos un nuevo capítulo. Según hemos podido saber gracias al blog deTrend Micro parece ser que Siri puede filtrar datos personales del propietario del teléfono desde el que se utilice y de sus contactos.
No hay duda de que Siri puede hacer la vida más fácil para los usuarios de iOS, ya que puede ofrecernos un buen montón de resultados de búsqueda y una integración casi perfecta con las redes sociales. Incluso con nuestros contactos, basta con nombrarlos y el asistente personal llenará la pantalla con sus datos, pero el precio a pagar por esas comodidades es muy alto, y hasta ahora nadie parecía haberse puesto a reflexionar sobre ello.
Según Trend Micro, bastan sólo 30 segundos, nada más, de uso del iPhone o el iPad de un amigo en el que Siri esté activada para mostrar tu nombre completo, dirección de correo electrónico y hasta tu foto, y eso aunque el terminal esté bloqueado. Con el comando adecuado también se puede mostrar toda la información sobre el propietario.
Todo esto vendría provocado por una ventana potencial que serviría para aprovecharse de dispositivos móviles equipados con Siri como es el uso del reconocimiento de voz, incluso con una contraseña. Lo ideal sería que la contraseña evitase el acceso no autorizado a la información guardada en un dispositivo móvil, igual que un ordenador. La cuestión es que Siri se salta esto y ofrece información detallada también en dispositivos bloqueados.
El reconocimiento de voz de los iPhone e iPads es una puerta de entrada para hackers
En Apple llevan ofreciendo soporte con respecto a Siri a su comunidad de usuarios prácticamente desde que se implementó, pero lo que preocupa a los investigadores de Trend Micro es que Siri podría ser un riesgo para la seguridad y privacidad de los usuarios de un iPhone o de un iPad.
¿Qué significa que Siri pueda hacer todo esto para tu privacidad?
Una vez que alguien ha conseguido acceso al dispositivo se puede usar el reconocimiento de voz para utilizar un cierto número de comandos, incluyendo aquellos que dan acceso a datos personales, ya sea información de contactos o del propietario del terminal.
Los comandos de voz que activan a Siri aunque el dispositivo esté bloqueado son los siguientes:
- “Cuál es mi nombre”: Muestra y verbaliza el nombre y el apellido del propietario del teléfono, siempre y cuando haya rellenado la sección “Sobre mí” de los ajustes de Siri.
- “Envía un mensaje a Nombre/Número (cuerpo del mensaje)”: Enviará un mensaje al contacto o al número que se especifique con el contenido dictado por el usuario.
- “Llama a Nombre/Número”: Llamará por teléfono al contacto o al número de teléfono que se especifique.
- “Publica un estado en Facebook (cuerpo del mensaje)”: Publicará en Facebook el estado que el usuario especifique.
- “Dónde estoy ahora mismo”: Muestra el mapa y verbaliza la localización del usuario.
- “(Decir un nombre)”: Muestra todos los datos del contacto cuyo nombre se mencione en ese momento.
- “Cuál es mi dirección de correo electrónico”: Muestra y verbaliza la dirección de correo usada en la sección “Sobre mí” de los ajustes de Siri.
- “Despiértame mañana a las X horas”: Activa la alarma para una hora concreta.
- “Cancela mi alarma de mañana a las X horas”: Desactiva la alarma para una hora concreta.
- “Crea un evento/recordatorio/entrada/cita para (fecha/hora)”: Crea una entrada en el calendario.
- “Muéstrame mi programación para (fecha/hora)”: Muestra las entradas en el calendario específicas para un marco temporal concreto.
- “Elimina un evento/recordatorio/entrada/cita para (fecha/hora)”: Elimina todos los eventos creados para una fecha y hora determinadas.
En lo tocante a la privacidad, las posibles consecuencias son prácticamente ilimitadas para loshackers. Si usan los comandos que muestran toda esa información tanto la del propietario del iPhone o del iPad, como la de sus contactos, estaría expuesta y por tanto en peligro.
Siri puede mostrar información personal hasta con una pantalla bloqueada
Por supuesto, la situación ideal para el uso de estos comandos de voz se da cuando también podrían ser usados por las fuerzas del orden o los primeros en responder a una llamada de auxilio, ya que se podría localizar a una persona herida o incluso llamar a un miembro de la familia. Por desgracia no vivimos en un mundo donde las situaciones ideales se den muy a menudo, con lo cual vale más la pena estar prevenidos sobre estas situaciones.
¿Y si usas Android o Windows Phone? Pues tampoco te libras. Se han vendido decenas de millones de dispositivos iOS en todo el mundo, y seguro que conoces al menos a una persona que use un iPhone, y que además use a Siri con frecuencia. Como tal, los detalles de los contactos pueden verse desde una pantalla bloqueada, lo que también pone su privacidad en riesgo.
¿Cómo se puede hacer que Siri sea más segura?
Siri necesita medidas de protección adicionales para poder salvaguardar la información personal del usuario y de sus contactos en dispositivos iOS. Es necesario proteger el asistente personal de las manos inadecuadas, y para ello es necesario implementar un reconocimiento de la voz del usuario, o al menos requerir una autenticación para poder llamar, publicar en Facebook, establecer y cancelar alarmas o ver los detalles de un contacto.
Indudablemente, esto sólo puede hacerse de la mano de Apple, que necesita poner medidas para evitar esos abusos mientras el terminal esté bloqueado. Sin embargo, desde Trend Micro recomiendan a los usuarios de iOS que tengan cuidado con quién maneja sus dispositivos con Siri, y que recuerden desactivar el asistente personal cuando no lo necesiten.
La respuesta de Apple ha este asunto ha sido declarar que “para que los usuarios puedan protegerse” ante los escenarios anteriores, necesitan “deshabilitar Siri en la pantalla de bloqueo”, nada más. Esperamos sinceramente que las medidas de seguridad que se pueden implementar víasoftware lleguen más pronto que tarde, y Apple suele cumplir con sus usuarios.
Fuente:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
