En un software o en un sistema operativo los fallos son tan habituales como que todos los días sale el sol. Aún así hay fallos graves que no se pueden permitir en ningún producto que sale a disposición del usuario. Desde iPaderos nos enseñan tres fallos graves de seguridad en iOS 7 que no se conocían hasta ahora y que tienen mucha importancia: iOS 7 permite leer notas, publicar en Facebook y llamar a cualquiera sin necesidad de desbloquear el teléfono con nuestro código de seguridad.
El centro de este fallo es, como muchos os habréis imaginado, Siri. El sistema de control por voz permite acceder a estas acciones sin necesidad de pasar por el código de desbloqueo, algo que es un fallo flagrante de seguridad y que no ha sido corregido en ninguna versión de iOS 7 publicada hasta ahora. A continuación os explicamos cómo son estos fallos de seguridad.
Leer nuestras notas sin código de desbloqueo
Si le decimos a Siri "Ver Notas" con el sistema bloqueado este nos enseñará una lista de las notas que tenemos escritas, pero si pulsamos sobre una de ellas tendremos que ingresar el código de desbloqueo. Este correcto funcionamiento desaparece cuando utilizamos la orden "Leer Notas". Sin ningún tipo de seguridad Siri se pone a leer la primera nota escrita para después, una vez finalizada su lectura, preguntarnos si quiere que lea la siguiente nota escrita.
De esta manera podemos acceder a todas las notas de un usuario sin ningún problema. El fallo de seguridad es obvio. Muchos de nosotros utilizamos las notas para guardar información crítica que puede ser utilizada por terceros para actividades no demasiado legales.
Publicar en Facebook o Twitter sin código de desbloqueo
Publicar en Facebook o Twitter puede no ser un gran fallo de seguridad pero sí que puede meternos en más de un lío si o hace alguien con cierta malicia. Reproducir este error es tan fácil como decirle a Siri "Publicar en Facebook/Twitter XXXX", siendo XXXX el mensaje que queramos. El sistema no nos pedirá el código de desbloqueo, tan sólo nos preguntará si queremos enviar la frase que acabamos de decir.
Llamar a cualquier persona sin desbloquear el iPhone
Como último error pero no por ello más grave iOS 7 nos permite llamar a cualquier persona sin desbloquear el teléfono. Lo único que tenemos que hacer es decirle a Siri "Llamar a equis", donde "equis" es un contacto que estamos seguros que el teléfono no tendrá. Al hacerlo el sistema nos dirá que no encuentra ningún contacto por ese nombre y nos permitirá hacer scroll para editar la frase dicha e ingresar cualquier nombre. Si por casualidad hay varios contactos con nombre similar tendremos un fallo de seguridad enorme que nos permitirá saber quién tiene en la agenda el dueño del iPhone.
¿Cómo solucionar estos fallos de seguridad?
Solucionar estos errores es tremendamente sencillo aunque no todo el mundo lo hace. Podemos configurar iOS para que desactive Siri si el teléfono tiene código de desbloqueo. Tan sólo tenemos que ir a Ajustes -> Bloqueo con Código y desactivar Siri. Aunque de esta manera hacemos que Siri sea inservible, es la única manera que conocemos por ahora para evitar estos graves fallos de seguridad.
Estos fallos han sido probados en iOS 7.1 y al parecer se mantienen en las betas de iOS 8. Esperemos que Apple tome buena nota de estos flagrantes fallos de seguridad y los arregle cuanto antes, porque pueden causar más de un disgusto a la mayoría de usuarios de iOS.
Vía | iPaderos
Ver 43 comentarios
43 comentarios
demasis82
Como bien dicen otros compañeros comentaristas, esto no se trata de un fallo. Es más, lleva sucediendo desde prácticamente el primer iPhone y su control por voz. El hecho de poder dar instrucciones al teléfono sin tener que tocar la pantalla, simplemente con el auricular o el manos libres, es muy muy cómodo.
Y, por tanto, desde que existe ese servicio (luego reemplazado por Siri y todo su potencial) siempre es el usuario el que tiene la posibilidad de activarlo o no. Se junta el "riesgo" de que cualquier pueda hacer "ciertas" acciones sin poner el código de bloqueo, con la comodidad de hacer "ciertas" acciones sin poner el código de bloqueo.
Es más, es igual a poner o no poner el mencionado código de bloqueo; hay quien lo pone y quien no.
Pero eso de "se acaba de descubrir un fallo garrafal" es de traca, pues lleva sucediendo, como hemos comentado, desde que el iPhone es iPhone y no creo que sea considerado "fallo".
pdgregor
Siempre tienes la opción de desactivar el control por voz con el teléfono bloqueado. La solución a este problema no es "capar" esa funcionalidad (¿qué sentido tiene un control por voz que me obliga a toquetear el teléfono para desbloquearlo si quiero hacer una simple llamada?) sino dejar elegir qué funciones se pueden hacer con Siri estando bloqueado el teléfono y qué funciones no. Incluso se podría complementar con alguna opción que lo hiciera sólo disponible con el teléfono bloqueado si está conectado a un manos libres. Aunque, a corto plazo, bastaría con que viniera desactivado por defecto y poner una advertencia al activar la opción de que esté disponible con el teléfono bloqueado avisando del "riesgo" que puede tener. O que te obligara a verificar que eres tú diciendo una frase "estándar" para reconocer tu voz a modo de contraseña (que la contraseña sea tu voz, no la frase en sí, que entonces cualquiera la podría escuchar). Por ejemplo, el motorola moto X permite entrenar el reconocimiento de voz para que sólo el dueño, en teoría, pueda activarlo diciendo "Ok, Google now". Con algo así se podría solucionar. Y esto pensando en los teléfonos sin Touch ID o cuando se use un manos libres por auricular (se entiende que uno bluetooth se ha emparejado por el propio dueño). En los que tengan Touch ID creo que la solución está clara...
Al final es un compromiso entre confort y seguridad. Ahora mismo la opción es binaria: o lo tienes (confort) o proteges tu información al máximo (seguridad). Pero no lo definiría como un fallo.
ealarcon
Es que si pidiera código de desbloqueo dejaría de ser control por voz.
Yo creo que es una decisión de diseño.
macnaxito
¡Pero por favor! Esto no es un fallo de seguridad, es una opción.
Es una de las OPCIONES que puedes elegir que estén disponibles aunque el iPhone esté bloqueado. A saber: Siri, Hoy, Visualización de notificaciones, Passbook, y Responder con mensaje. (Todas las gestionas en Ajustes -> Touch ID y código en caso del iPhone 5S). Y además Centro de Control, que también es opcional.
Si las desactivas: "Adiós fallo". Pero es que no es un fallo. Es como decir: ¡Fallo gravísimo en los iPhone!¡Si no pones un código de bloqueo puedes entrar hasta en la cocina! Pues claro. Para eso están los códigos.
Yo lo valoré en su momento. Simplemente no pongo mi cuenta de Facebook en mi iPhone, y a Siri no le doy acceso a Twitter. Y lo de las notas, mis notas no tienen importancia, si es cierto que es el sitio favorito de muchos para poner hasta las contraseñas de iCloud. Eso si es peligroso. Yo preferí poder decirle a Siri rápido que me enseñe como ir a casa.
Pero lo cierto es que la gran mayoría en España no usa a Siri por lo que podría desactivarla del todo.
No es un fallo, es una opción. Peor (y ya lo he dicho muchas veces) es que para ver TODAS las contraseñas y tarjetas guardadas en Safari (en el Llavero de iCloud) sólo necesites el código de 4 dígitos de desbloqueo. O sea, una contraseña maestra de tan sólo 4 dígitos y números además.
s2power
Manuls, tío, creo que en esta ocasión te has pasado... Te detallo:
"tres fallos graves de seguridad "
"El centro de este fallo "
"es un fallo flagrante de seguridad "
"fallo de seguridad es obvio"
"Como último error pero no por ello más grave "
"un fallo de seguridad enorme que "
"Apple tome buena nota de estos flagrantes fallos de seguridad y los arregle cuanto antes, porque pueden causar más de un disgusto a la mayoría de usuarios de iOS"
¿En serio? ¿Te has sacado de la manga un artículo de fallos a partir de una OPCIÓN ajustable por el usuario?
Muchas veces he oído quejas de que en IOS no se puede personalizar casi nada... Y cuando hay una opción que te permite configurar el comportamiento del sistema... entonces se convierte en un agujero enorme de seguridad que acabará con la humanidad, porque podremos decirle a SIRI: "Extermina a todos los humanos" sin tener que meter el código de desbloqueo...
En serio, un poco de rigor. Claramente, la implementación de esta OPCIÓN es para aquellos usuarios que priorizan, debido a sus hábitos, la comodidad de uso frente a la seguridad.
Es más, deberías haber dicho que POR DEFECTO esta opción está desactivada, y es el propio usuario el que debe permitir que SIRI esté accesible con el teléfono bloqueado.
Si un usuario realiza esta acción, conoce el comportamiento que va a tener el sistema y, si lo mantiene así, es porque le compensa. Como ha dicho alguien en un mensaje, pongamos que soy un usuario que quiero poder acceder a SIRI con el teléfono bloqueado, pero Apple modifica el comportamiento para OBLIGARME a introducir la contraseña para poder usar SIRI... ¿qué ventaja supone? ¿es muy seguro berrearle a SIRI mi código? Si trabajo con guantes ¿cómo me logaría con Touch ID?
Por favor, Manuls, si quieres, redacta un artículo diciendo "Si activas SIRI en la pantalla de bloqueo, debes saber que...", y habrías convertido un artículo sin sentido en algo que habría ayudado a la gente. Lo que has hecho es, simplemente, un sinsentido.
tonihur
Se pierde tanto tiempo y tanto dinero por culpa de la gente maleducada y delincuente. Debería atacarse el problema desde la base, al final tanta protección, privacidad y demás se acaba volviendo contra uno mismo. y todo para protegernos de gente que mete sus narices de manera deliberada donde ni le interesa ni nadie le ha llamado.
punk84
El problema aquí es que Siri no serviría de mucho si tuvieras que estar metiendo un código de desbloqueo cada vez que quieres usarlo.
robermc80 hablaba de un código por voz, sí, parece más cómodo, pero estar diciendo el código a viva voz no es mucho más seguro que no tener código.
Yo creo que la solución a este problema es Touch ID, aquí no hay código y si no es tu dedo entonces nada... claro esto deja fuera a los dispositivos anteriores, pero no me imagino yo una solución por software tan segura como funcional, los que tenemos dispositivos "antigüos", tendremos que tomar la decisión de si queremos un Siri totalmente funcional o un teléfono más seguro.
s2power
Ya me perdonaréis, pero yo no veo dónde está el error.
Si el usuario decide que SIRI esté disponible desde la pantalla de bloqueo, es porque no quiere tener que desbloquear el teléfono cada vez que quiera hacer algo. Y si obligamos a que, para hacer gran cantidad de acciones, el sistema requiera que el usuario introduzca la contraseña, la filosofía de no tener que sacar el teléfono del bolsillo se va al garete...
Si lo que se busca es seguridad, es muy fácil: inhabilita SIRI con el teléfono bloqueado.
Usuario desactivado
que yo sepa esto no es nuevo, yo en mi iPad lo he restringido porque no me gusta.
De todas formas, una cosa es permitir a Siri realizar una llamada estando bloqueado y otra muy distinta es que te muestre el nº de telefono y dirección de cualquier contacto o las notas sin bloqueo, para mi si es un fallo de seguridad (privacidad)
amtdesarrollos
EL titulo del artículo es correcto, pero no se puede considerar un fallo. Claramente en Ajustes en la parte de Bloqueo (aparece en mayúsculas), dice "PERMITIR ACCESO MIENTRAS ESTA BLOQUEADO" y se muestran varias opciones que se habilitan pese a que el terminal está bloqueado (Siri es una de ellas). Como vas a decir que eso es un error??? Sino, tambien deberías considerar que es un fallo poder ver la pantalla "Hoy" con las citas que tienes estando el terminal bloqueado!!!. Sería ridículo. Cada una de estas cosas puedes desacrivarlas si te parecen que violan tu privacidad. Pero para el común de la gente (que yo me incluyo), estan perfectas. Por favor, Apple déjalas tal cual están y no leas este artículo!!!
videosdebarraquito
Para mi es un gravísimo fallo de seguridad, porque muchos de quienes tienen activado Siri con código de bloqueo lo hacen confiando en que Siri no va a facilitar nada personal suyo o de sus contactos a quien robe o encuentre su iPhone, o desconocen tódo lo que queda accesible (en mi opinión demasiado) aún teniendo código. Tampoco quisiera que ningún gracioso/a publicara en Facebook en mi nombre, y luego ser yo quien pida disculpas o tener que dar explicaciones. Yo personalmente no sabía que Siri leía en voz alta todas mis notas si se lo pido, o si se lo pidió el vecino cuando me lo olvidé en su casa, aunque tenga el iPhone bloqueado. Y como eso muchas cosas mas que desconocemos y que tal vez alguien malintencionado pueda conocer. Me gustaría poder elegir lo que quiero que haga Siri con el iPhone bloqueado, en mi caso sólo cosas básicas, llamar a determinado contacto, apuntar una nota o un recordatorio, cazar una canción y algunas cosas mas, pero creo que sobra que Siri muestre el historial de llamadas si se lo pide quien sea, o la información que figure añadida a cualquier contacto, que puede ser mucha. Entiendo que haya gente que ni siquiera ponga código a sus moviles, por comodidad, pero desde que tengan en su dispositivo información ajena, fotos de familiares o amigos o nombres junto a números de teléfono o direcciones de correo, me parece una falta de respeto. Sí quiero Siri, pero muy configurable, porque tambien quiero privacidad.
videosdebarraquito
H
spacefox
Para evitar esos robos de datos con siri usen bioprotect y habiliten el touch id al momento de usar siri y listo ademas quien trae guantes de latex en sus bolsas del pantalón todos los dias
fernandosucre
Que no se sabía hasta ahora? Será una broma. Yo sé que se pueden hacer llamadas con el iPhone bloqueado desde que lo tengo. También sé que una vez finalizada la llamada el telefono queda desbloqueado. No entiendo este artículo. Expertos en Apple publican lo que otros expertos en Apple acaban de descubrir y es algo que todo usuario conoce.
crisomelido
Creo que a estos tiempos que IOS tenga esta clase de errores es una verdadera mierda. No sé si estoy "poniendole" pero pareciera que IOS7 es el sistema con ams fallos que he visto desde que conozco Apple.