"Siri, ¿qué tiempo hará hoy?". La asistente virtual de Apple cuenta con muchas funciones útiles, pero una de ellas supone un fallo de seguridad grave. Hablamos de la posibilidad de leer y contestar mensajes de SMS sin necesidad de desbloquear el 'smartphone', una característica en apariencia inocente que puede servir para que cualquier acceda a la información sensible de nuestro iPhone, hasta el punto de robar dinero de nuestras cuentas.El fallo lo ha descubierto el experto en seguridad informática Martin Vigo, tal y como explica en su página web. Dos han sido los ingredientes en este caso: Siri y Venmo, una 'app' propiedad de PayPal para pasar dinero entre amigos —por ejemplo para pagar una cena a escote—. Este tipo de aplicaciones permite pagar a otros usuarios, pero también solicitar que nuestros conocidos nos ingresen sus deudas.
De esta forma podemos pedir a un amigo que nos ingrese hasta 2.999,99 dólares por semana, un pago que, obviamente, nuestro amigo debe aceptar primero. Para ello, debe responder al SMS que recibirá con el código escrito en el mismo. ¿El problema? Que podemos coger su móvil y pedirle a Siri que responda al mensaje, sin necesidad de desbloquear el iPhone.
El fallo lo ha descubierto un experto en seguridad informática que ha utilizado dos ingredientes: Siri y la 'app' de pagos Venmo
La opción de recibir el código por SMS no está activada por defecto en Venmo pero, una vez más, Vigo fue capaz de activarla a través de SMS sin necesidad de desbloquear el teléfono de su 'víctima', tan sólo enviando un mensaje con la palabra START al número de la aplicación, 86753.
Vigo se ha puesto en contacto con Venmo y ya no es posible activar el pago contestando al SMS, pero solucionar el fallo no es tan sencillo. La posibilidad de leer y responder SMS en dispositivos bloqueados es un fallo de privacidad de Apple que se mantiene y que podría afectar a otras 'apps', sobre todo si tenemos en cuenta cuántos bancos y servicios emplean este sistema de mensajes para enviar códigos de confirmación.
FUENTE: http://www.elconfidencial.com
