El investigador de seguridad español José Rodríguez ha descubierto una vulnerabilidad de bloqueo de pantalla que afecta a las versiones 14.8 y 15 de iOS.
Esta vulnerabilidad aún no ha sido totalmente corregida. Un atacante con acceso físico al dispositivo vulnerable podría acceder a la aplicación de Notas a través de Siri y VoiceOver. Tras esto, podría lanzar aplicaciones de mensajería instantánea como WhatsApp o Telegram.
Rodríguez explica que los dispositivos dispositivos afectados por este tipo de vulnerabilidades están expuestos a ataques que podrían dar acceso a información sensible. El investigador cuenta con un blog donde recopila este tipo de vulnerabilidades. Además ha publicado una prueba de concepto en vídeo después de que Apple restase importancia a fallos similares descubiertos por él, identificados como CVE-2021-1835 y CVE-2021-30699.
Rodríguez ha mostrado su descontento con el programa de Bug Bounty de Apple. En su perfil de Twitter, critica los tiempos de respuesta de la empresa de Cupertino así como las retribuciones por sus reportes de seguridad. Esto se une al descontento de otros investigadores, como Denis Tokarev, que recientemente publicó tres vulnerabilidades de día cero tras esperar 6 meses una respuesta por parte de Apple que nunca llegó.
I will giveaway a very minor Lock Screen Bypass working in iOS 14.8 / 15RC
Apple values reports of issues like this with UP TO $25,000
but for reporting a more serious issue I was awarded with $5,000
I will send in private a PoC video to who asks for it when iOS 15 is public.
_ pic.twitter.com/LXpRYemDkt— Jose Rodriguez (@VBarraquito) September 15, 2021
No es la primera vez que en Una Al Día nos hacemos eco del trabajo de José Rodríguez, especialista en encontrar este tipo de vulnerabilidades como ya ocurrió con iOS 12 y posteriormente con iOS 13.
Fuente: unaaldia.hispasec.com