martes, 12 de marzo de 2013

Ingeniería Social a SIRI

Cuando se habla de que han descubierto un nuevo fallo de seguridad en iOS, con el que se puede hacer un Bypass para entrar en la agenda y así poder llamar, yo me pregunto ¿Qué de importante es eso?.

Tanto en los iPhone como en los iPad se puede tener una charla bastante amena con SIRI. Preguntándole cosas como el tiempo, el resultado del último Real Madrid vs Barça, etc.

Eso está muy bien, pero, ¿no sería más importante no dar quizás algunos datos sin haber desbloqueado antes el terminal?

Para empezar si le preguntamos a SIRI -¿Quién soy yo?.- ésta te responde con una ficha tuya donde aparecen tus datos, es decir, los que tu previamente has metido. Que en mi caso son, una foto, un par de teléfonos, mi correo y mi dirección postal.

Información valiosa por si se te pierde el móvil que alguien sepa quien eres... ¬¬

Una vez que sabemos quien es el dueño del aparato vamos a mirar que tiene en la agenda. Y como SIRI es muy bien mandada, si le sugerimos que nos muestre el calendario, nos mostrará todas las Citas que tengamos en dicho calendario.

Img 1: Ejemplo de información del calendario a través de SIRI.


Ahora el tipo que se ha encontrado nuestro terminal sabe, que hoy tenías médico, que mañana era el cumpleaños de tu sobrino, y que el Jueves tenías una reunión con un tal Erick CEO SYSTEM.

Como en la mayoría de los casos, no solo ponemos nuestras citas en el calendario sino que también solemos ponernos un recordatorio para que nos avise cuando lleguemos a un lugar. Por lo que en la aplicación de "Recordatorios" de iOS tenemos puesto que nos avise cuando lleguemos a "casa", con una bonita Nota que dice: Preparar Nóminas de empleados"

Genial! ahora el sospechoso que tiene mi móvil, tiene algo más que un simple aparatito en su poder.

Como aplicación recurrente también suelo utilizar las Notas donde apunto absolutamente de todo. Y SIRI siendo esta vez tan amable como la anterior me muestra todas las notas.

Img 2: Ejemplo de la información que no muestra SIRI de las Noas.


...Supongo que ha estas alturas esa persona que tiene el teléfono se estará frotando las manos...

Ya que ha podido acceder a mi información personal (mail, dirección postal, teléfono, foto...), sabe las reuniones que voy a tener, puede deducir en que trabajo, y hasta la empresa y el puesto.Pero además de eso puede llamar a Estefani, la secretaria de la oficina, para intentar sacar algo más de información haciéndose pasar por algún familiar...

....y suma y sigue.

En fin amigos, esto es un claro ejemplo de que no es tan importante un simple bypass a la agenda cuando podemos obtener toda esta información "por defecto".

Mucho cuidado con dejar el móvil donde no debierais.