Comandos de SIRI que exponen información en iOS 7 y anteriores

La siguiente entrada nace a raíz de un trino publicado por mi amigo peruano Juan Pablo Quiñe, quien como toda mente curiosa al instalar iOS 7 en su dispositivo móvil empezó a experimentar con el y se dio cuenta que al darle la orden a siri de “mostrar notas” con el dispositivo bloqueado, siri muy obediente y sin pedir el código de bloqueo fue mostrando las notas de su equipo.

iOS

Ya sabemos que el iOS 7 tiene un fallo que permite bypassear el código de bloqueo y visualizar todas nuestras fotos, así como compartirlas por correo, redes sociales o lo que tengamos configurado, también sabemos que cualquier persona que tenga un poco de pegante para papel y acceso a nuestra huella digital, puede generar una huella falsa que le daría acceso total a nuestro dispositivo configurado con el polémico Touch ID.

Pero el trino de Juan Pablo me causó mucha curiosidad y aprovechando que estaba haciendo escala para mi vuelo a la ekoparty me puse a ensayar qué otros comandos pueden exponer información sensible sin solicitar código de bloqueo, encontrándome con un buen numero de comandos que podrían exponer nuestra información usando SIRI.

Comandos de SIRI que exponen información sensible:

  • “ver notas” el que inicio este post, nos muestra en texto plano todas nuestras notas, también puedes usar “leer notas”.

Notas

  • “escribir nota” permite escribir arbitrariamente en las notas, eje “escribir, no dejar mi teléfono solo”.

Notas

  • “publicar en Facebook xxxx” si tienes vinculada tu cuenta de Facebook con el teléfono, publicara lo que le dictes en tu muro.

Facebook

Twittear

  • “ver mensajes” muestra tus mensajes SMS no leídos.

Mensajes SMS

  • “ver llamadas perdidas” muestra un listado de todas tus llamadas perdidas.

Llamadas Perdidas

  • “ver llamadas realizadas” muestra un listado de todas tus llamadas realizadas.

Llamadas Hechas

  • “ver calendario” muestra toda tu agenda.

Calendario

  • “crear reunión el xxxx a las xxxx” permite añadir información a tu agenda, también sirve “modificar reunión xxxx” o “eliminar reunión xxxx”.

Modificar Calendario

  • “ver teléfono de xxxx” muestra el teléfono de tu contacto, probar con los típicos contactos “amor”, “papá”, “mamá”.

Info de Contacto

  • “encuentra a {nombre común}” permite enumerar contactos.

Enumeración

  • “llamar a xxxx” llama a ese contacto

Llamar

  • “enviar correo a xxxx” permite enviar un correo al contacto definido con cualquier mensaje que le dictes.

Correo

  • “crear alarma” “dentro de 10 minutos” permite crear alarmas [ideal para programarle una a tu amigo a las 4:00 am].“inicia el temporizador” inicia una cuenta regresiva y suena alarma cuando termina.

Alarma

  • “ver mapa de xxxx” muestra la ubicación en el mapa.

Mapas

Seguramente para Apple esto no es más que una “funcionalidad” de su producto, pero si no quieres ser víctima de ella, te recomiendo desactivar SIRI y cuidar muy bien a quien le prestas tu teléfono inteligente.

Espero que con la ayuda de la comunidad podamos aumentar más esta lista, si conoces un comando que no aparezca aqui, déjalo por favor en los comentarios de este artículo y con gusto lo añado a la lista.

PD. Las pruebas fueron realizadas con iOS 7.0 sobre un iPhone 5.


Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Alejandro Calderón

    Muy bien póst, vi cuando hiciste la prueba en Twitter y le dije a Siri “Muéstrame mi información de contacto” y arrojó toda la información de la cuenta asociada a mi nombre.

  • Alejandro Calderón

    También es posible pedirle información de personas con parentesco puntual decirle como “llama a mi novia” o “Muéstrame la información de mama”

  • Alejandro Calderón

    Otros como, “Muéstrame mis eventos en marzo de 2013” mostrara eventos pasados en el calendario

  • Lo más probable es que saquen una actualización para reparar todas los errores que tanto están dando de que hablar. Imagino que Android también tiene cantidad de fallos así que iOS no es el único, es más por moda y envidia 🙂

  • Felipe Sanabria

    Aunque es muy cierto, también es cierto que es igual de sencillo para el usuario desactivar estas opciones. Cuando se activa el desbloqueo por código, ente las opciones de esta función está el darle acceso a Siri o a Passbook desde la pantalla de inicio con el teléfono bloqueado. Así qué sí el usuario quiere acceder rápidamente a estas funciones (exponiendo su seguridad) puede hacerlo, pero así mismo puede desactivarlo y problema solucionado.

  • Juan Pablo Quiñe

    Aquí unos más que ya había encontrado:
    Tengo llamadas de voz
    Tengo llamadas perdidas
    Activar/desactivar Bluetooth
    Activar/desactivar desactivar wifi
    (aunque estos 2 últimos lo puedes hacer con el menú)

  • BladeH

    Pero que fue lo que le paso por la cabesa que cometieron ese error!!!

    • sHArCKER

      Error el Suyo, se escribe CABEZA con Z…

  • Todo no es perfecto ya pronto vendrán actualizaciones.

  • Pingback: Lo mejor del 2013()

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES