Luego del fallo de FaceTime, un segundo agujero potencial para vulnerar la privacidad se habría abierto en dispositivos iOS por medio de los atajos de Siri (Siri Shortcuts).
Lo anterior fue advertido por el desarrollador de Codea, Simeon Saëns, quien indica en una serie de tuits lo sencillo que podría ser acceder a la información por medio de un atajo falso de Siri:
“Acabo de descubrir (gracias a @AvimanyuRoy3) que es trivialmente sencillo robar información personal y altamente sensible de un iPhone a través de los Atajos”, dijo el desarrollador. “Desde contactos personales, nombres que has escrito en iMessage, direcciones, historial de navegación, uso de apps, contenido de archivos”.
Simeon dice que el atacante podría obtener datos personales como contactos, direcciones, historial de navegación, nombres que aparezcan en iMessage e incluso el tiempo que utilizas las apps.
El verdadero peligro radica en la posibilidad de disfrazar estos atajos como simples flujos de trabajo. El atacante se aprovecharía de la ingenuidad de la víctima y podría robar información personal para después comprimirla y reenviarla por iMessage.
Los atajos de Siri son una especie de recetas que optimizan pasos para ejecutar tareas. Los usuarios tienen la opción de crear el suyo o descargarse uno de internet. Estos atajos permiten, por ejemplo, mantener tu teléfono encendido por más tiempo a pesar de tener el 1% de batería, o descargarte fotos y videos de redes sociales como YouTube e Instagram.
Apple los implementó en iOS 12 luego de adquirir Workflow, una aplicación que ganó bastante popularidad gracias a sus flujos de trabajo personalizados tanto en iPhone como en iPad o Apple Watch.
Los atajos de Siri están basados en Workflow y aunque todavía no tienen tantos adeptos, hay sitios como ShortcutsGallery que ofrecen descargas directas que facilitan su implementación.
La facilidad de descargarse de un sitio es uno de los puntos más vulnerables, ya de acuerdo con Simeon, permitiría enmascarar atajos falsos y vulnerar a los usuarios. El desarrollador dice haber contactado a Apple para resolver el fallo, esperamos que no ocurra lo mismo que con FaceTime.
Simeon dice que para comprobar el peligro de algunos Atajos, creó uno disfrazado de un limpiador de memoria interna pero que en realidad podría comprimir información, crear un enlace y enviarlo por mensaje al atacante.
“No puedes esperar que un usuario sepa qué están autorizando al recibir un enlace de Apple con este Atajo”, dice.
Apple distribuye algunos Atajos por medio de su app homónimo en iOS que actúa como el App Store para obtener aplicaciones, pero en este caso es para Atajos con diferente finalidad como automatizar el hogar, rutinas matutinas o descubrir música.
Sin embargo, los usuarios pueden crear sus propios Atajos desde esta aplicación y luego compartirlos con un enlace de Apple que incluso tiene la seguridad https. Existen sitios como Sharecuts.app o en la comunidad de Shortcuts en Reddit que comparten cientos de Atajos creados por usuarios pero que podrían tener algún fin malicioso escondido.
Simeon dice que ha contactado a Apple acerca de esto y espera que la compañía lo corrija. “Al tiempo que los Atajos se vuelven más relevantes, más gente necesita estar al tanto de como pueden ser utilizados para causar daño”, dice.
