Si eres usuario de iPhone o iPad, sabrás quién es Siri. Puede que sea una herramienta que uses a diario y que incluso se haya convertido en un imprescindible para ti. Hablamos del asistente personal de Apple, una funcionalidad presente en iOS que permite a los usuarios interactuar con su móvil de viva voz para pedirle cosas prácticas, como por ejemplo, el tiempo que hace hoy o insertar una cita en el calendario. Pero, ¿sabías que Siri puede convertirse en cómplice de los cibercriminales? Un experto en seguridad llamado Martin Vigo acaba de descubrir que el sistema operativo de Apple presenta un fallo grave. El problema está incluido precisamente en una de sus funciones. Hablamos de la herramienta que nos permite leer y contestar mensajes de SMS sin desbloquear el smartphone. La característica parece sencilla e inofensiva para nuestra seguridad, pero lo cierto es que cualquier cibercriminal con conocimientos podría acceder a las entrañas del teléfono para robarnos datos personales e incluso dinero de nuestras cuentas…
Empecemos por el principio. El fallo de seguridad permitiría a cualquier usuario acceder al dispositivo sin necesidad de introducir una contraseña, de modo que sus mensajes SMS estarían expuestos a cualquiera y cualquiera podría responderlos. Pero esto no es lo más grave. Martin Vigo ha descubierto que en combinación con otra aplicación llamada Venmo, diseñada por PayPal para pasar dinero entre amigos o solicitar deudas pendientes a conocidos, cualquiera podría echar mano de lo que tuviéramos en nuestra cuenta bancaria. El procedimiento lo muestra a través de un vídeo. Bastaría con solicitar el pago a un amigo (de la cantidad que sea). Este tendría que aceptarlo vía SMS con un código. No ocurriría nada si el acceso al dispositivo estuviera correctamente restringido. Sin embargo y debido a este fallo de seguridad, existe la posibilidad de que cualquiera coja el móvil de esa persona y le pida al Siri que responda el mensaje sin mediar contraseña. Así de sencillo.
http://youtu.be/2BmN7NCMES4
El experto en cuestión se puso en contacto con Venmo, porque para colmo, aunque la opción de recibir el código a través de SMS no se encuentra activada por defecto, a Vigo no le costó nada hacerlo a través de Siri y sin necesidad de desbloquear el iPhone en ningún momento. Le bastó con mandar un SMS con la palabra START al 86753. Por suerte, el equipo de Venmo se ha puesto manos a la obra y, por ahora, no existe la posibilidad de activar los pagos vía SMS. Lamentablemente, la posibilidad de leer y enviar mensajes SMS a través de un iPhone o iPad bloqueado sigue siendo factible a través de los comandos de Siri. El fallo de seguridad tendría que ser resuelto cuanto antes por parte de Apple, ya que no son pocos los servicios – incluidos los bancarios – que usan las comunicaciones SMS para confirmar o emitir operaciones.