Hackean la pantalla de bloqueo de activación de iPhone y iPad

Hackean la pantalla de bloqueo de activación de iPhone y iPad

La seguridad de iPhone y iPad en peligro...

Compartir

El bloqueo de activación, presente en los dispositivos iOS de Apple, es una herramienta implementada en iOS 7 dentro del paquete Buscar mi iPhone / Find my iPhone — o Buscar mi iPad / Find my iPad respectivamente — con excelentes resultados a la hora de iniciar un protocolo de emergencia ante robos y/o pérdidas de nuestros iPhone o iPad. Una vez activada la función, además de bloquear los terminales, permite su geolocalización, borrado telemático o la emisión de un pitido de emergencia. Medidas muy útiles que pierden su eficacia cuando se demuestra su debilidad.

Y es que recientemente y de forma completamente azarosa se ha reportado un importante fallo de seguridad tanto en iPad y iPhone en dicha pantalla de Bloqueo de activación. El hallazgo fue descubierto por el investigador de software Hemanth Joseph, que acababa de comprarse un iPad en eBay y andaba personalizándolo. Cuando le apareció la pantalla de bloqueo de activación, simplemente introdujo una larga cadena aleatoria de caracteres en la configuración de su Wi – Fi, produciendo un bug que saltó la capa de seguridad y le permitió acceder al contenido del iPad.

Fallo seguridad pantalla bloqueo iPad iPhone

Te Puede interesar | El Bloqueo de Activación Reduce los Robos de iPhone en Nueva York y Londres

La función de Bloqueo de activación tiene el objetivo de prevenir que terceras personas como ladrones o simplemente usuarios no autorizados accedan a un dispositivo iOS robado o extraviado. Cuando un usuario de Apple reporta a través de Buscar mi iPhone — o Buscar mi iPad en el caso de la tablet de Apple — la desaparición de su iPad o iPhone, esta pantalla aparece automáticamente en el dispositivo, bloqueando el terminal para la introducción del ID de Apple de genuino dueño, que tendrá que verificarlo.

Si cualquier persona quiere acceder al contenido del iPad o iPhone, forzosamente tendrá modificar esta configuración de seguridad, para ello deberá introducir las credenciales pertinentes. Es entonces cuando Apple coteja la identidad del dueño con sus servidores a través de internet. Es ahí donde el investigador encontró la vulnerabilidad.

En el momento en el que un dispositivo es bloqueado, iOS requiere dicha conexión a redes para la verificación. Entonces, simplemente pulsó en Otras redes e introdujo una larga cadena de caracteres aleatoria en los espacios a rellenar, que por cierto no tienen límite de introducción de texto. Cuando esto sucedió, el iPad no se desbloqueó automáticamente, Joseph tuvo que bloquear y desbloquear su dispositivo colocando la tapa de la funda. Al volver a ver la pantalla de su iPad, estaba completamente desbloqueado y con acceso al escritorio.

Apple remedió este importante bug con el lanzamiento de iOS 10.1.1 en octubre, pero en SecurityWeek han vuelto a intentarlo simplemente trasteando con la rotación de la pantalla y el modo nocturno activado, como podéis comprobar en el vídeo de arriba. Sin duda, una protección muy poco prometedora. Como véis, brevemente aparece la pantalla con la fecha y hora, pero si pulsamos el botón de encendido, estabilizamos el proceso y desbloqueamos por completo. Este bug también es extensible a iPhone.

De momento Apple ya es consciente de este nuevo agujero de seguridad y promete solventarlo en el inminente lanzamiento de iOS 10.2, todavía sin fecha prevista.