El exploit de seguridad de IOS 15 le permite omitir la pantalla de bloqueo para iniciar sesión en Notes

Hola , otro nuevo articulo blog , esperamos que les complazca

Apple solucionó recientemente vulnerabilidades de seguridad críticas con iOS 14.8. Sin embargo, una nueva vulnerabilidad de iOS descubierta por el investigador José Rodríguez permite a los atacantes pasar por alto la pantalla de bloqueo del iPhone y acceder a la aplicación Notes utilizando una combinación de VoiceOver y herramientas comunes para compartir.

El lunes, Rodríguez fue a YouTube para mostrar el exploit funcionando en iOS 14.8 y iOS 15. En el video, para evitar la pantalla de bloqueo del iPhone, Rodríguez primero le pidió a Siri que «active VoiceOver y acceda a Note in Control. Center». . Se abre un nuevo campo de nota, pero no se revela el contenido del usuario en este momento. Rodríguez luego invocó el centro de control y abrió la función de cronómetro. Luego va a la aplicación Notas abierta previamente a través de VoiceOver.

En lugar de mostrar la nota en blanco, a Rodríguez se le otorgó acceso a la base de datos de Notes, incluido el contenido registrado. Rodríguez había grabado una nota de muestra con texto, grabación de audio, enlace HTML, tarjeta de contacto, etc. Luego, podríamos usar el rotor de VoiceOver para seleccionar y copiar la nota que se puede exportar a un segundo iPhone. En uno de los escenarios mostrados, el segundo iPhone llama al dispositivo de destino. Los atacantes pueden rechazar la llamada y pegar el texto copiado en un mensaje de respuesta personalizado. Alternativamente, el texto se puede pegar en Mensajes si el segundo iPhone envía un mensaje de texto al dispositivo adjunto.

Afortunadamente, esta vulnerabilidad viene con varias advertencias. En primer lugar, el atacante necesitaría acceso físico al iPhone de la víctima. En segundo lugar, el dispositivo debe tener Siri habilitado, Centro de control disponible en la pantalla de bloqueo y Notas y Reloj accesibles a través del Centro de control. Para transferir los datos capturados, el atacante debe conocer el número de teléfono de la víctima para hacer una llamada o enviar un mensaje como se describe arriba. Además, este exploit no funciona con notas protegidas con contraseña.

Apple previamente otorgó a Rodríguez $ 25,000 por descubrir otra vulnerabilidad de omisión de la pantalla de bloqueo que permite el acceso a Notes. Apple se refirió a la vulnerabilidad como nuestro error de «acceso parcial» que conduce a la extracción parcial de datos confidenciales. Esto limitó el pago de su recompensa a un máximo de $ 100,000. Rodríguez dijo Appleinsider que esta vez subió el exploit a YouTube en lugar de informarlo a través del programa Bug Bounty de Apple, con la esperanza de arrojar luz sobre las dificultades de la iniciativa.

Si bien es difícil para los atacantes explotar esta vulnerabilidad, hasta que se publique una solución, simplemente puede deshabilitar Siri o restringir el acceso a la pantalla de bloqueo en el Centro de control en la configuración de Face ID y contraseña para mantenerse seguro. También puede proteger con contraseña sus notas.

[via AppleInsider]

Si les ha gustado este articulo es posible que les interese otras clases sobre la manzana

utilizamos cookies para poder ofrecer la mejor experiencia a los usuarios que nos vistan. Si sigues utilizando este sitio asumiremos que estás de acuerdo. Salir de la Web

Los ajustes de cookies en esta web están configurados para «permitir las cookies» y ofrecerte la mejor experiencia de navegación posible. Si sigues usando esta web sin cambiar tus ajustes de cookies o haces clic en «Aceptar», estarás dando tu consentimiento a esto. Haz clic aquí si quieres que el hacer scroll se considere como aceptación de cookies

Cerrar