Un nuevo vídeo ha aparecido en la red para mostrar una vulnerabilidad en iOS 9.3.1 que permite a cualquier usuario acceder a los contactos y las imágenes de un iPhone bloqueado sin tener que introducir el código de seguridad o poner el dedo en el Touch ID. El error se produce a la hora de abrir Siri y ejecutar unos pasos simples, uno de los cuales requiere 3D Touch, por lo que el fallo solo afecta a usuarios de iPhone 6s y 6s Plus.
Tal y como podéis apreciar en el vídeo que os dejamos a continuación, el proceso comienza abriendo Siri al dejar pulsado el botón home o utilizar la función “Oye Siri”. La pregunta que hay que hacerle al asistente virtual es hacer una búsqueda de Twitter, da igual lo que se le pregunte. En la respuesta, debemos buscar una dirección de correo, sobre la que habrá que dejar pulsado el dedo para invocar el menú 3D Touch y elegir “Añadir a contacto existente”. De esta forma aparece la lista de contactos del dispositivo al completo.
La siguiente vulnerabilidad aparece ahora. Ya que tenemos acceso a la lista de contactos, podemos elegir uno y añadir una imagen de perfil. Para ello, aparecerá la opción de escoger una desde la galería y así de simple, ya tenemos acceso a todas las imágenes, sin mayor dificultad y en apenas unos segundos.
¿Qué hace falta para que cualquiera pueda acceder a este error de iOS 9.3.1?
Para poder hacer uso de esta vulnerabilidad es necesario que el usuario tenga activado Siri, que le haya dado permiso para acceder a tu cuenta de Twitter así como a contactos y fotos. Además, desde Macrumors ya han confirmado que el fallo se puede reproducir sin mayor problema, simplemente haciendo lo mismo que hemos explicado y que se aprecia en el vídeo.
Si quieres solucionarlo, tienes que ir a Ajustes > Privacidad > Twitter y si aparece Siri dentro, desactivar el acceso. Sin mayor dificultad. Pero, si quieres estar más seguro aún, desde Ajustes > General > Siri puedes desactivarlo desde la pantalla bloqueada.
ACTUALIZACIÓN: la vulnerabilidad ha sido corregida y ya no es posible hacerlo.