Bypass a iOS 12.1. Accede a la información de los contactos sin desbloquear el dispositivo

Recientemente Apple ha lanzado una actualización se su sistema operativo para móviles, la versión 12.1 de iOS. Por desgracia esta actualización ha venido con un bug que permite a un atacante acceder a toda la información guardada de los contactos sin tener que introducir el passcode. Además es un exploit tan sencillo que no es necesario tener ningún conocimiento previo de programación. El único condicionante a la hora de explotar este bug es que se necesita tener acceso físico al dispositivo de la víctima. Como en casos anteriores el bug se aprovecha del asistente personal Siri, en este caso para acceder a los contactos.

El exploit en cuestión es muy simple, el atacante solo tendrá que iniciar una llamada telefónica (con el teléfono bloqueado), una vez se conecte la llamada deberá cambiar rápidamente a FaceTime, a continuación se dirigirá a la parte inferior de la pantalla y pulsará sobre “añadir” (+). Una vez se encuentre en los contactos solo es necesario mantener pulsado sobre uno de ellos para que el 3D Touch te muestre toda la información guardada sobre ese contacto, desde su correo electrónico hasta la imagen con la que fue guardado. Este fallo también puede ser explotado al recibir una llamada, algo esperado si el dispositivo es encontrado o sustraído.

Como se ha mostrado en el vídeo esta vulnerabilidad es extremadamente sencilla de explotar y parece funcionar en todos los modelos de iPhone (que admitan iOS 12), incluyendo los nuevos iPhone XS, siempre y cuando estén actualizados. Si dispones de un iPhone y ya lo has actualizado la mejor manera que tienes de protegerlo es asegurarte de que nadie pueda acceder a él. La buena noticia de esto es que ha tenido una gran repercusión en los medios y por lo tanto se espera que Apple no tarde mucho en ofrecer una solución o en lanzar un parche de corrección de errores.