Autor del artículo
Daniel Cepeda
Artículos escritos
45

El día del lanzamiento de iOS 15, un experto mostró cómo saltarse la pantalla de bloqueo

Apple lanzó iOS 15 esta semana, y el mismo día el experto en IS José Rodríguez demostró un bypass de la pantalla de bloqueo del iPhone que puede acceder a las notas del usuario.

El investigador admite que no fue casualidad que descubriera el fallo ese día en concreto.

De este modo, Rodríguez se vengó de Apple por restar importancia a problemas similares de bloqueo de pantalla de los que informó anteriormente en 2021.

Las vulnerabilidades en cuestión son CVE-2021-1835 y CVE-2021-30699, que Apple parcheó en abril y mayo de este año.

Jose Rodriguez
El experto
Apple valora reportar problemas similares en 25.000 dólares, pero a mí me recompensaron con 5.000 dólares por reportar un problema más grave

“Apple valora reportar problemas similares en 25.000 dólares, pero a mí me recompensaron con 5.000 dólares por reportar un problema más grave”, escribió el investigador en su cuenta de Twitter.

Las dos vulnerabilidades mencionadas permitían a los atacantes acceder al messenger de la víctima y a otras apps, como Twitter, WhatsApp y Telegram, incluso si el dispositivo estaba bloqueado.

Rodríguez explica que Apple mitigó estos fallos, pero no los solucionó del todo, y no preguntó al investigador si los parches funcionaban correctamente.

Rodríguez acabó publicando una nueva solución para la pantalla de bloqueo (que funcionaba porque los dos errores anteriores no se habían solucionado del todo).

Esta vez utilizó Apple Siri y VoiceOver para acceder a la aplicación Notas. El ataque puede verse a continuación.

Hay que decir que Rodríguez no es el único descontento con la forma en que Apple está tratando su programa de recompensas por errores y la comunicación con los expertos en SI.

A principios de este mes, el Washington Post publicó un importante artículo sobre el tema, en el que muchos expertos en seguridad informática destacaban problemas similares y alegaban que la empresa había estado ignorando sus informes de fallos durante meses, emitiendo parches ineficaces, ofreciendo a los investigadores una oferta inferior a la que les correspondía y prohibiéndoles seguir participando en eventos de recompensas por fallos si se quejaban.

Anteriormente
Noticias19.000 aplicaciones de Android han expuesto datos por errores de configuración de Firebase
Siguiente
NoticiasLos expertos muestran los pagos sin contacto desde el iPhone bloqueado con Apple Pay y la tarjeta Visa
Malas.
0
Bien.
0
Genial.
1
Añade un comentario