José Rodríguez, investigador especializado en seguridad móvil publicó recientemente una serie de tweets revelando el hallazgo de una nueva técnica para evadir la pantalla de bloqueo de un iPhone con el fin de acceder a información confidencial sin necesidad de ingresar una contraseña o registros biométricos en el dispositivo objetivo.
Este método se basa en el abuso de las características propias de servicios como Apple VoiceOver y Siri, y permitiría a un actor de amenazas extraer información almacenada en iPhone Notes, una aplicación nativa del sistema iOS.
En un video publicado por el investigador, puede apreciarse que bastan apenas unas cuantas acciones para que el dispositivo entregue la información almacenada en esta aplicación sin comprobar adecuadamente la identidad del usuario.
Dado que miles de usuarios recurren a esta aplicación para almacenar credenciales de acceso, información bancaria y otros registros confidenciales, este ataque es considerado como una amenaza de seguridad real. En sus publicaciones, el Rodríguez afirma que la falla reside en iOS 14.8 y en iOS 15, lanzado apenas hace unas horas.
Sobre la divulgación pública del error el mismo día del lanzamiento de la nueva versión del sistema operativo, el experto menciona que esta es una acción deliberada y espera que Apple lo tome como una protesta contra los estándares de su programa de recompensas.
Esta es la segunda vez que Rodríguez descubre una vulnerabilidad de este tipo en el iPhone. En una oportunidad anterior, Rodríguez reveló lo que afirma era un error más severo pero que cree que la compañía juzgó inadecuadamente: “Apple valora un informe como este en hasta $25,000 USD, mientras que el reporte de un problema más severo sólo me hizo ganar $5,000 USD”, agrega el investigador.
Esta no es la primera vez en las últimas semanas que el programa de recompensas por errores de la compañía recibe críticas de la comunidad de la ciberseguridad. Hace algunas semanas, surgieron informes de una enorme acumulación de errores no corregidos y frustración general entre los profesionales de seguridad que ofrecen sus servicios a la compañía; Apple ya ha recibido algunas solicitudes de información al respecto, aunque no se ha recibido respuesta alguna.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
