Nuevo fallo de iOS 7 permite evitar el borrado remoto en el iPhone 5S

Apple

Nuevo error y, esta vez, potencialmente peligroso en iOS 7. Una compañía de seguridad alemana ha descubierto que un fallo en iOS 7 permite a un hacker saltarse las medidas de seguridad de la función “Buscar mi iPhone” que permiten a los usuarios, cuando les han robado el móvil, bloquearlo y borrarlo a distancia.

Se suma un nuevo error en iOS 7 que compromete la seguridad de iPhone y iPad. En esta ocasión es particularmente preocupante ya que permitiría saltarse una de las nuevas medidas de seguridad que estrena iOS 7, el bloqueo y borrado de datos a distancia por parte del usuario.

La compañía Berlín´s Security Research Labs, conocida como SRL, son los que han descubierto este fallo del que se ha hecho eco Reuters y que permite hacerse, a su vez, con un control total del correo, lo que implica que se pueden llegar a obtener numerosas passwords relacionadas con él, como la del banco, gracias, también, a la posibilidad de falsear las huellas dactilares y engañar a la función Touch ID del iPhone 5S.

Mientras Apple sigue sin comentar nada al respecto, los descubrimientos de SRL serían la quinta vulnerabilidad grave encontrada en iOS 7, que Apple ha tratado de solventar con las diferentes actualizaciones del sistema, aunque ha creado alguna por el camino.

Encuentra mi iPhone funciona tan rápido como debería, ahí está el problema

La función “Encuentra mi iPhone” es la respuesta que ha dado Apple en iOS 7 para que los usuarios, ante un robo del terminal, puedan bloquearlo y borrar remotamente su contenido y así evitar que sus datos más sensibles caigan en manos de los ladrones. El descubrimiento de SRL se centra en que no funciona lo suficientemente rápido y es posible evitar que estas funciones se activen.

Para ello, como muestran en el vídeo, ponen un iPhone 5S en modo avión, algo que se puede hacer ahora desde la  pantalla de bloqueo de iOS 7, eliminando así la posibilidad de que se conecte con iCloud. Esto les da tiempo para crear la huella dactilar, a partir de fotografiar en alta resolución alguna de las que hay en la pantalla o la carcasa del terminal, y que les permitirá engañar al sistema Touch ID o probar, en el caso de que sea otro terminal, hasta descubrir el código de desbloqueo.

Una vez obtenida, sólo hay que loguearse con ella en el terminal para tener acceso a los datos de la Apple ID en la que se puede conocer el correo electrónico asociado a la cuenta. En ese momento, se solicita en la página de Apple la recuperación de la contraseña, y es cuando sale a la luz el fallo de iOS 7 ya que es posible desconectar el modo avión el tiempo necesario para recibir este correo pero no es suficiente para que la función Encuentra mi iPhone ejecute las órdenes del usuario.

buscar mi iphone ios 7

Ya sólo resta leer el correo que acaba de llegar, copiar el enlace de recuperación de contraseña al bloc de Notas y entrar desde un ordenador a ese enlace para cambiarla. A partir de ahí, con la contraseña y el control del correo del usuario, los ladrones pueden hacer casi lo que quieran con el terminal ya que es posible esperar a que sean borrados sus datos y volver a restauralos con la cuenta Apple recién hackeada y la copia de iCloud. Tras esto, el ladrón tiene control total, y como se ve en el vídeo, es posible recuperar contraseñas y hacerse con el control de otros servicios como la cuenta bancaria, correo electrónico, redes sociales, etc.

¿Es posible defenderse hasta que Apple haga algo?

Para mitigar esta vulnerabilidad, los expertos señalan que los usuarios de iPhone 5S deben establecer el nuevo método con dos factores de autentificación para las Apple ID, que requiere de, además de la contraseña, un código de cuatro dígitos que se puede enviar a un teléfono diferente (porque si se envía al que ha sido robado, estamos igual) aunque esta opción sólo se ofrece, de momento, en Australia, Irlanda, Reino Unido y EE.UU.

Además, desde el SRL instan a Apple a retirar opciones como la de que se pueda poner el terminal en modo avión desde la pantalla de bloqueo y que, por defecto, se requiera password para desbloquearlo y no sólo la huella dactilar o permitir que se revoquen a distancia el acceso a cosas como el correo electrónico cuando ha sido bloqueado.

Chris Morales, experto en hacking y director de investigación en NSS Labs, indica que pese a la moda que parece que llega con el reconocimiento biométrico de los usuarios en terminales móviles, esto es incluso más inseguro que las passwords. “Como contraseñas malas, lo son. Es más seguro saber algo que ser algo” indica Morales que añade “los datos biométricos sólo aumenta la seguridad de la gente que es extremadamente perezosa”.

Escrito por David G. Bolaños (@d_gomez_b)

Continúa leyendo

Comentarios

12 comentarios
  1. adfa 04 Oct, 13 10:38

    De verdad… lo que cuesta el material y proceso para falsificar esa huella vale mas de lo que sacara el ladron por el terminal… le sale mas barato comprar uno que robarlo…

    0
    1. Vitamina P 04 Oct, 13 11:05

      El tema aquí no es el robo por el terminal, es el robo por los datos que contiene, y te aseguro que el móvil de cualquier alto cargo de una empresa promedio tiene datos que valen mucho, mucho dinero, centenares de veces lo que podrían sacar por el terminal.

      Si a alguien le preocupa de verdad esta vulnerabilidad, mi consejo es que desactiven el control center en la pantalla de bloqueo mientras lo parchean. Muchos (por no decir todos) de los fallos de estos días vienen por ahí.

      Igualmente, aunque es cierto que están sacando muchos fallos de seguridad, muchos (y este es uno) me parecen sumamente enrevesados.

      0
  2. alberto 04 Oct, 13 11:09

    Fallos, fallos y mas fallos y ademas importantes, un movil cuyo precio es LIBRE casi 800€ no debería de tener ningun y menos de este calibre, como ocurria con la llamadas, con los mapas etc… Apple cada vez a peor.

    0
    1. Asier Eizagirre Ibarzabal 04 Oct, 13 15:15

      Sale un móvil con android que valga mas o menos lo mismo de la misma gama claro, y parece que no tiene ningún fallo o no le dan importancia, sale apple con una producto nuevo…¿y es el saco de las ostias? venga ya…y no estoy diciendo que un móvil android e gama alta sea mal móvil.

      0
    2. Alfonsin 04 Oct, 13 18:36

      Cuidado que salen los iTalibanes y niegan todos los defectos y fallos que tiene ios7, aun cuando Apple los admite. BASURA A PRECIO DE ORO!!!!!

      0
  3. Ididjfj 04 Oct, 13 11:57

    Ósea, que primero te tienen que robar el móvil, luego ponerlo en modo avión y después de eso construir una copia de tus huellas porque vas a ser tan gilipollas como para tener una foto de ellas en el iPhone guardada, y ya después de todo eso, sólo faltaría desbloquearlo y desactivar buscar mi iPhone……. CLAROOOO

    0
    1. Asier Eizagirre Ibarzabal 04 Oct, 13 15:18

      Si la gente con tal de sacar los defectos de algunos viven feliz…osea mira que maniobra tienen que hacer, luego lo que has dicho que hay que ser tonto de tener una foto de la huella guardada en el iPhone. Como tu has dicho CLAROOOO

      0
      1. Megacontento 04 Oct, 13 18:34

        Claro, como osan a sacar defectos a ios7, si es un sistema perfecto, todo lo que dicen es mentira y es gente que no puede tener uno.

        0
  4. Santiago 04 Oct, 13 12:44

    Es sumamente interesante como la gente llega a preocuparse por esto, el proceso en si mismo para producir una huella dactilar legible no es fácil, creo ademas que no todo el mundo tenga datos de un valor tan alto como para creer que un ladrón pasaría por todo este proceso para acceder a sus datos personales. Hace poco me robaron un 4S y crei que era el fin del mundo, tenia una clave alfanumérica y cuando puse la denuncia del robo el oficial me comento que lo que suelen hacer con estos celulares es desmantelarlos y venderlos como repuesto.
    Lo mas importante es cuidar el móvil y saber que uno al comprar equipos caros -y apetecidos- como un 5s, S4, ONE, etc va a haber gente que querrá conseguirlos de la manera mas sencilla.

    0
  5. pepe 04 Oct, 13 15:19

    el que te roba el teléfono es pq no tiene dinero para comprarlo y si no tiene para comprar un terminal o te lo roba para hacer negocio, tampoco va a tener para comprar todo el kit para copiar las huellas dactilares asi como tampoco sabra ni haecrlo, si de broma y sabe donde esta parado y mosca y no se droga antes de robar como para andar sambiendo nisiquiera q es una huella dactilar y q eso se puede copiar sin cortarte el dedo…
    esta prueba la hizo una agenencia de seguridad q tiene personal capacitado en la materia pero un pedaso de ladron ese lo q quiere es el terminal para venderlo asi q tienes tiempo de sobra para llegar a la casa encender la computadora bliquearlo y borrarlo y el ladron todavía ni se abra enterado que fue lo q paso

    0
  6. ShooTker 05 Oct, 13 12:16

    Esta claro que el usuario que usa el iphone 5s para el whatsup si se lo roban no le van a robar datos ademas de que el que se lo roba lo que quiere es el teléfono. Pero existen personas que en los teléfonos lleva algo mas que el típico programa de mensajeria, llevan datos de valor o cuentas bancarias o información valiosa para alguien. Aunque parezca de película seguro es así y a estas personas le venden un sistema operativo disiendoles que es muy bueno y tiene un sistema de seguridad con huella y bla bla bla que al final ni tan siquiera funciona como dicen. Para esas personas esto es un fallo bastante gordo aunque a los fan de apple no le guste escuchar que su todopoderoso teléfono tiene fallo, asi es, los tiene apple, los tiene android y los tienen todos los sistemas operativos por muy seguros que se digan siempre habrá gente que los vulnere.

    0
  7. Crescencio Del Hierro Matas 07 Oct, 13 19:57

    Órale, p1nches applezombies, defiéndanse, diganle a David G. Bolaños que su p1nche nota está bien fumada.

    0