Si sincronizas iTunes por WiFi pueden hackearte el iPhone y el iPad

Software

El sistema operativo iOS usado en iPhone y iPad es uno de los más seguros del mercado, y Apple está encima de su seguridad para arreglar posibles vulnerabilidades. Sin embargo, parece que hay una función que los hackers pueden aprovechar para robar nuestros datos. Hablamos de la sincronización con iTunes por WiFi.

TrustJacking: el método que permite hackear tu iPhone y iPad a través de iTunes

Symantec ha emitido una alerta sobre un nuevo ataque que han bautizado como TrustJacking, el cual permite que una persona en la que confíes pueda tomar el control total de tu iPhone, iPad o iPod, incluyendo la posibilidad de robar tus datos.

iphone X wifi

La función de sincronización por WiFi de iTunes (iTunes Wi-Fi sync) permite enviar contenido sin cables entre el ordenador y el iPhone. Para ello, es necesario primero dar permiso al ordenador a través del cable USB. Una vez el damos permiso esa primera vez ya no es necesario volver a concederlo. Así, cualquier persona que tenga acceso a tu ordenador puede espiar en secreto tu móvil siempre que ambos estén bajo la misma red local. Y todo ello sin tener que verificar el acceso en ningún momento.

Esto puede parecer un escenario limitado, pero imaginad ahora un cargador de pared en un aeropuerto. En él, un usuario de iPhone llega, conecta su móvil creyendo que es un cargador normal y corriente, pero en su lugar está conectándose a un ordenador de un atacante. Si por error le da a aceptar al pop-up, el atacante ya tiene acceso completo al móvil. Esto también puede ser peligroso en el caso de que un hacker tome el control del ordenador “seguro” al que el usuario está conectado si lo infecta con malware.

Ten cuidado con dónde conectas tu móvil y de lo que tocas en pantalla

Por si fuera poco con acceder al móvil, también es posible instalar aplicaciones de manera remota con iTunes Wi-Fi Sync, e incluso reemplazar las existentes por otras modificadas que tengan la misma apariencia que la original, pero que en su lugar puedan espiar la actividad del usuario directamente desde el móvil. De hecho, se puede hasta ver la pantalla del usuario en tiempo real y tomar capturas de pantalla o directamente grabarla.

macos-itunes12-7-phone7-ios11-summary-options-wifi-sync

Symantec contactó con Apple para hacerles saber el peligro de este tipo de ataques, y desde iOS 11 Apple ha introducido un código PIN a la hora de realizar la conexión con el ordenador. Sin embargo, esto no arregla el problema del todo, ya que una vez que el usuario ha elegido confiar en un ordenador, el resto del exploit sigue funcionando sin problema.

Por ello, os recomendamos no usar esta función si no confiáis plenamente en el ordenador en el que lo estáis conectando, y estáis seguros de que no tenéis ningún virus. Además, podéis revisar los dispositivos de confianza en Ajustes – General – Restablecer. Por último, denegad siempre acceso si enchufáis el móvil en algún ordenador.

Escrito por Alberto García

Fuente > Symantec