Una falla en iOS 13, el nuevo sistema operativo para el iPhone lanzado por Apple este jueves, expone los datos de contacto almacenados en esos dispositivos sin requerir un código de acceso o identificación biométrica. Y Apple sabía de la falla desde julio, le dijo a CNN Business una persona que reportó el error a la compañía.
Un pirata informático necesitaría acceso físico al teléfono en cuestión para completar el hackeo, pero una vez estando en su poder, podría sortear las medidas de seguridad estándar de Apple, como el reconocimiento facial. Una vez hecho, podría acceder a la libreta de direcciones y ver información de contactos almacenados en el teléfono, así como indicaciones de los contactos más recientes con los que el propietario del teléfono ha estado en comunicación.
José Rodríguez, un entusiasta de la seguridad cibernética, quien vive en las Islas Canarias, contactó a Apple el 3 de julio y dijo que había encontrado una “derivación de contraseña” y preguntó si sus hallazgos serían elegibles para el Apple Security Bounty, un programa que recompensa a quienes alertan de fallas a la compañía.
Apple hizo un seguimiento inmediato de la alerta hecha por Rodríguez y personal de la compañía realizó varias llamadas con el investigador durante las cuales él los guió a través de la vulnerabilidad en una versión beta del software, dijo Rodríguez.
Rodríguez proporcionó a CNN Business copias de los correos y registros telefónicos de sus correspondencias con Apple.
Sospechando que Apple podría no solucionar la falla antes de lanzar el nuevo sistema operativo, la semana pasada, Rodríguez hizo públicos sus hallazgos.
CNN Business pudo replicar la falla el martes en iPhones que se habían actualizado a la versión oficial de iOS 13.
Apple confirmó que la falla que Rodríguez identificó se solucionaría en la próxima versión del sistema operativo, iOS 13,1, que se debe se lanzará el 24 de septiembre.
Previamente, la compañía había adelantado la fecha de lanzamiento de esa actualización, anunciada originalmente para el 30 de septiembre. La compañía declinó confirmar si el descubrimiento de Rodríguez había provocado el adelantamiento de la fecha.
Cortesía de CNN