lunes, julio 04, 2016

Apple cierra un leak en Siri y acaba con el truco de bar para robar cuentas #Apple #Siri

Hace mucho tiempo os contaba la historia de cómo jugando con Siri era posible robarle la cuenta a una persona. Es un truco sencillo de bar que, la última vez que lo probé hace un mes y medio o así, todavía funcionaba. Consiste en aprovecharse de aquellos terminarles iPhone que permiten que Siri esté activado con la pantalla bloqueada y comenzar con un sencillo "¿Quién soy yo?" o "Who am I?" si lo tienes en inglés como yo.

Figura 1: Apple cierra un leak en Siri y acaba con el truco de bar para robar cuentas.

Cuando se le hace esa pregunta a Siri, lo que hace el terminal es buscar qué cuenta tienes configurada en Siri. Tal vez no tengas ninguna, tal vez la hayas configurado y lo sepas, o incluso puede que no recuerdes que la tienes configurado - como le suele suceder a mucha gente - . En el siguiente vídeo hago una pequeña demo de cómo funciona el ataque:


Figura 2: Demo de cómo robar un cuenta usando Siri

Esta opción se encuentra en las opciones de Siri y es una cuenta de la agenda de contactos que hayas establecido tú con tus datos.

Figura 3: Configuración de quién eres tú en Siri

Si la tienes configurada, Siri accede a esa información y te muestra el contacto para que lo sepas. Antes, en las versiones vulnerables de iOS - hasta la iOS 9.3.1 - sale la información completa de la cuenta. Esto lo podrías usar para robarle la cuenta con el truco de bar que os conté o para simplemente sacarle el correo electrónico o el teléfono a esa chica que te gusta tanto y darle una sorpresa. Tal y como se ve en la pantalla.

Figura 4: Antes Siri mostraba toda la info del contacto en pantalla

En las nuevas versiones de iOS, Apple ha cerrado un poco más la boca a Siri para evitar esta fuga de información y otras más, por lo que ahora sale el nombre del contacto, pero ningún dato más sobre cuentas de correo electrónico o números de teléfono.

Figura 5: Ahora solo muestra el nombre del contacto.
Si quieres ver los datos hay que desbloquear el passcode.


Saludos Malignos!

1 comentario:

Anónimo dijo...

Apple ve tus vídeos Chema!
Congratulations \ñ.ñ/

Saludos!

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares