Siri, el gran fallo de seguridad de iOS/iPhone

lunes, abril 30, 2018 0 comentarios
A ver, no voy a descubrir nada que ya no sepa cualquier hacker, o peor aún, delincuente común. Desde la incorporación de Siri en iOS, existe una forma "muy sencilla" para que alguien, una vez sustraído tu iPhone, te lo desbloquee en apenas minutos, y lo peor, que se haga con el control de tu vida digital. Pero tranquilos, ya te anticipo que tiene solución.

El sistema es sencillo, cómo Siri, por defecto, se puede invocar estando el iPhone bloqueado... y si, da igual que sea tu voz o no, casi siempre se desbloqueará a poco que se parezca (si no lo crees, haz pruebas).  Pues lo que suelen hacer los amigos de lo ajeno, es preguntarle -¿Quién soy?...

https://amzn.to/2F2jKf7
 
Como normalmente en tu ficha de contacto tienes puesto el e-mail, al preguntarle esto, Siri muy servicial (y tonto) le mostrará tu ficha de contacto con tus nº de teléfono, e-mails, etc.

Obtenido el mail, accederán desde un ordenador a iCloud, pondrán el e-mail, si suena la campana y es el e-mail asociado a iCloud, le pedirá recuperar la contraseña... al hacer esto, lo que hará el sistema es enviar un mensaje a tu iPhone con un código de verificación, para recuperar la contraseña -o cambiarla-, cómo el fulan@ tiene tú móvil, y como iOS por defecto te mostrará en pantalla (aún estando bloqueada) una previsualización de los mensajes recibidos, pues ya tiene el control. Tras recibir el mensaje, introducirá el código para recuperar la contraseña, te la cambiará... y tras esto... amigo, date por muerto. Tendrá acceso a todo la información (desde el ordenador) que tengas en el iPhone; fotografías, música, contactos, agenda, todo.

Dirás tú. Si, pero el iPhone sigue sin poder desbloquearlo, ya que no sabe el PIN, ni el lector de huellas o reconocimiento facial se pueden saltar. Qué más da, ya tienen tus datos (que valen una pasta, sea para su uso, o para venderlos a terceros), el terminal va luego, para ello... 

Lo que harán es darle a formatear remotamente desde iCloud al iPhone, y luego, como quedará más limpio que una patena, usando la misma cuenta de iCloud u otra, ya tendrán el iPhone virgen.

En caso de perder un móvil, créeme, lo mejor que te puede pasar es que "solo" lo pierdas, lo realmente preocupante son los datos que contiene y lo que pueden hacer con ellos.

Solución, pues desactivar la previsualización de mensajes en la pantalla de bloqueo, o de hacerlo, que solo se vea la notificación una vez desbloqueado. Como medida de seguridad extra, también estaría bien desactivar Siri para ciertas apps, de tal forma que no busque en ellas tras ser invocado. Es increíble la información que se puede extraer simplemente preguntando a Siri con el móvil perfectamente bloqueado. Qué como se llama tu mujer, tus hijos, tus padres, etc, qué dónde está tu casa o el trabajo, etc... imagínate. Y si ya acceden a tu cuenta de Gmail y los servicios asociados, entonces sabrán más de tu vida que Montoro.

Para desactivar las notificaciones, vas a Ajustes - Notificaciones y luego en la opción Mostrar previsualizaciones, marcas "Si está desbloqueado". Este ajuste también se puede definir, app a app, por si no quieres ser tan restrictivo, pero, lo importante es hacerlo como mínimo en Mensajes, Mail, Contactos y otras apps que puedan devolver datos importantes, o ser servicios que se utilizan para la recuperación de claves por sistemas de verificación de DOS PASOS, es decir, el típico sistema de seguridad que te pide que introduzcas el código que te mandan al móvil, para verificar que realmente eres tú (o un chorizo que tiene tu móvil), y si, validar la operación. De hecho, ya está tardando iOS en implementar esta validación con el reconocimiento facial / huella, y no, retornando un simple código recibido.

Luego vas a Ajustes - Siri y Buscar, e irás desactivando el uso Siri, en aquellas apps que no te interese que Siri actúe, yo recomiendo desactivarlo en todas las apps que contengan datos importantes.

Por defecto iOS (inexplicablemente) no está configurado así, lo que permite este coladero "estúpido".

Desconozco si en Android ocurre lo mismo con sus asistentes, pero me da que si (al fin de cuentas, unos se copian a otros), si es así, limita los privilegios del asistente.


Por ultimo, y ya que estamos, algo que ya debieran saber todo el mundo a estas alturas. NUNCA, PERO NUNCA, NUNCA, te conectes a una red Wifi pública, y de hacerlo, acuérdate, una vez termines la sesión, que debes ir a Ajustes - Wi-fi, e ir a la red en cuestión y le das a "olvidar" (se hace dando a la "i" que hay al final del nombre).  Y también activar la opción de que PREGUNTE PARA CONECTARTE A UNA RED WIFI.

Os explicaré a qué viene esto. Debieras saber que cada vez que te conectas a una Wi-fi, esta se queda guardada en tu terminal, de tal forma, que la próxima vez, ya no tienes que seleccionarla y en caso de tener clave, introducirla.  La usará incluso sin tú decirle nada (a no ser que tengas activado PREGUNTAR PARA CONECTARSE...). Pues bien, esto, aparte de que consume mucha batería, ya que estará buscando Wifis continuamente, es un método ya muy extendido que utilizan los hackers, a modo de caladero de pesca de pardillos.

Te explico; pongamos, por ejemplo, que vas a un Starbucks, te conectas y navegas y tal... bien... una vez se queda grabado el nombre de la red, la próxima vez que acudas a ese Starbucks (o estés cerca), el móvil se conectará automáticamente. Lo que hacen los hackers es usar un simple portátil y una especie de router / e incluso simplemente compartiendo la red wifi desde un terminal, y suplantar la red legítima, algo tan sencillo, como ponerle ese nombre a su wifi y dejarla pública, así de simple. Se sientan en un banco, o en el propio establecimiento y si tú estás en su radio de acción, posiblemente tu iPhone se conecte automáticamente a esa red que "ya conoce", ya que tiene el mismo nombre a la que te habías conectado anteriormente (y tampoco tiene clave).

Una vez te conectas a la red del fulan@, ya tiene control sobre todo lo que hagas con tu móvil, no te explicaré cómo, pero es relativamente fácil usando programas específicos disponibles fácilmente en Internet y que, literalmente retransmiten todo lo que hagas con tu terminal e incluso lo guardan para posterior estudio. Con sorpresa a las pocas horas te encontrarás que te han hackeado la cuenta de Gmail, la de iCloud, te han entrado en la banca electrónica o cualquier servicio web en el que hayas entrado en esa sesión.

Así que, NUNCA SE TE OCURRA USAR UNA RED WIFI PÚBLICA y mucho menos una popular, ya que, no hay nada que te garantice que realmente te estás conectando a la red legítima, de hecho, no tendrás forma de saber si es o no la red que dice ser. Y aún siendo legítima, nada impide al propietario o alguien que haya infectado su equipo  que te espíe tu navegación.

Siempre digo lo mismo, confiar en una red wifi pública (abierta) es tan ridículo y absurdo, como si alguien que dice ser tu banco, te pide por email tu nº de usuario y contraseña de tu cuenta, y va... y tú se la das.

P.D.:  Y ya puestos a aflojaros el ojete del culete... os diré que esos cochazos tan tecnológicos de hoy día, que se abren y arrancan sin sacar la llave del bolsillo son un chollo para los amigos de lo ajeno.

Abrirlos es tan fácil como usar un amplificador de señal (disponibles por cuatro duros en cualquier tienda o incluso en Amazon), de tal forma que el "chorizo" tan solo tiene que ponerse a observar quien cierra o no el coche con el mando o, simplemente yendo a por modelos que utilicen este sistema, de tal forma que espera a que te alejes, se acerca al coche, activa amplificador de señal, tira del tirador de la puerta y... automáticamente el coche lanzará una señal, intentando buscar la llave... en condiciones normales al no detectar que estas cerca no se abriría, pero como el amplificador lanza la señal a centenares de metros, el coche SI detectará la llave y abrirá la puerta, ya que para él, tú estás en las inmediaciones.

Con ello no solo tendrá acceso, sino que podrá arrancarlo y marcharse tan tranquilo. Lo peor de ello, es que ni siquiera podrás denunciarlo por robo, ya que no hubo fuerza... y el hurto amig@ no suele estar recogido en las coberturas de pólizas de seguro por motivos obvios. Hay un vídeo en Youtube muy cachondo él, donde interceptan a uno de estos "elementos", y el paisano se limita a decir -Ai paaaayo, a no ves que no tengo puente, que va solo el carro, es un Uber.

Así que, si compras un coche "inteligente", que como mínimo se arranque por huella, o teniendo próximo el móvil, y sino, desactiva esta función si es posible. Los automatismo son buenos, si son infalibles y útiles, no si solucionan un problema y crean otro peor a su paso. 

Inzitan blog

Debí elegir la pastilla azul...

Hace siglos, en Delf, ¿recuerdas?, tú vertías la jarra de leche, en casa de Johannes Vermeer, el pintor, el marido de Catharina Bolnes, hija de la señora María Thins, aquella estirada, que tenía un hijo medio loco. Pues ese, ese era yo...

0 comentarios:

Publicar un comentario

=====================================================================================

Comentarios moderados. Si ves que no aparece inmediatamente no lo repitas (posiblemente esté en espera de moderación).
En el caso de que un artículo tenga más de 200 comentarios se mostrará un link "Cargar más" debajo de la caja de comentarios.

++gracias :-)

=====================================================================================

.