Luego del fallo de FaceTime, un segundo agujero potencial para vulnerar la privacidad se habría abierto en dispositivos iOS por medio de los atajos de Siri (Siri Shortcuts).
Lo anterior fue advertido por el desarrollador de Codea, Simeon Saëns, quien indica en una serie de tuits lo sencillo que podría ser acceder a la información por medio de un atajo falso de Siri:
I’ve just been made aware (by @AvimanyuRoy3) that it is trivially easy to steal highly sensitive & personal information from an iPhone via Shortcuts
— Simeon (@twolivesleft) January 23, 2019
Just browsing through the malicious Shortcut is mind blowing
You'll be unsettled what your phone has on you /1
Simeon dice que el atacante podría obtener datos personales como contactos, direcciones, historial de navegación, nombres que aparezcan en iMessage e incluso el tiempo que utilizas las apps.
El verdadero peligro radica en la posibilidad de disfrazar estos atajos como simples flujos de trabajo. El atacante se aprovecharía de la ingenuidad de la víctima y podría robar información personal para después comprimirla y reenviarla por iMessage.
Los atajos de Siri son una especie de recetas que optimizan pasos para ejecutar tareas. Los usuarios tienen la opción de crear el suyo o descargarse uno de internet. Estos atajos permiten, por ejemplo, mantener tu teléfono encendido por más tiempo a pesar de tener el 1% de batería, o descargarte fotos y videos de redes sociales como YouTube e Instagram.
**Apple los implementó en iOS 12 luego de adquirir Workflow, una aplicación que ganó bastante popularidad gracias a sus flujos de trabajo personalizados tanto en iPhone como en iPad o Apple Watch.
Los atajos de Siri están basados en Workflow y aunque todavía no tienen tantos adeptos, hay sitios** como ShortcutsGallery que ofrecen descargas directas que facilitan su implementación.
La facilidad de descargarse de un sitio es uno de los puntos más vulnerables, ya de acuerdo con Simeon, permitiría enmascarar atajos falsos y vulnerar a los usuarios. El desarrollador dice haber contactado a Apple para resolver el fallo, esperamos que no ocurra lo mismo que con FaceTime.