Saturday, January 14, 2017
Apple cierra un leak en Siri y acaba con el truco de bar para robar cuentas Apple Siri
Apple cierra un leak en Siri y acaba con el truco de bar para robar cuentas Apple Siri
Hace mucho tiempo os contaba la historia de cómo jugando con Siri era posible robarle la cuenta a una persona. Es un truco sencillo de bar que, la última vez que lo probé hace un mes y medio o así, todavía funcionaba. Consiste en aprovecharse de aquellos terminarles iPhone que permiten que Siri esté activado con la pantalla bloqueada y comenzar con un sencillo "¿Quién soy yo?" o "Who am I?" si lo tienes en inglés como yo.
Figura 1: Apple cierra un leak en Siri y acaba con el truco de bar para robar cuentas. |
Cuando se le hace esa pregunta a Siri, lo que hace el terminal es buscar qué cuenta tienes configurada en Siri. Tal vez no tengas ninguna, tal vez la hayas configurado y lo sepas, o incluso puede que no recuerdes que la tienes configurado - como le suele suceder a mucha gente - . En el siguiente vídeo hago una pequeña demo de cómo funciona el ataque:
Figura 2: Demo de cómo robar un cuenta usando Siri
Esta opción se encuentra en las opciones de Siri y es una cuenta de la agenda de contactos que hayas establecido tú con tus datos.
Figura 2: Demo de cómo robar un cuenta usando Siri
Esta opción se encuentra en las opciones de Siri y es una cuenta de la agenda de contactos que hayas establecido tú con tus datos.
Figura 3: Configuración de quién eres tú en Siri |
Si la tienes configurada, Siri accede a esa información y te muestra el contacto para que lo sepas. Antes, en las versiones vulnerables de iOS - hasta la iOS 9.3.1 - sale la información completa de la cuenta. Esto lo podrías usar para robarle la cuenta con el truco de bar que os conté o para simplemente sacarle el correo electrónico o el teléfono a esa chica que te gusta tanto y darle una sorpresa. Tal y como se ve en la pantalla.
Figura 4: Antes Siri mostraba toda la info del contacto en pantalla |
En las nuevas versiones de iOS, Apple ha cerrado un poco más la boca a Siri para evitar esta fuga de información y otras más, por lo que ahora sale el nombre del contacto, pero ningún dato más sobre cuentas de correo electrónico o números de teléfono.
Figura 5: Ahora solo muestra el nombre del contacto. Si quieres ver los datos hay que desbloquear el passcode. |
Poco a poco se van cerrando los leaks de información en Siri, que como sabéis, pueden dar mucho juego. Desde buscar información en las notas o el calendario, hacer llamadas a personas o poner alarmas para despertar al que se ha descuidado y dejado su iPhone a tiro, a las 4 de la mañana.
Saludos Malignos!
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download