Un error en las llamadas en grupo de Facetime permite a cualquier usuario espiar la cámara y el micrófono de los iPhone y Mac. El fallo de seguridad en el servicio de vídeollamadas de Apple permite al emisor ver lo que captaba la cámara y escuchar el micrófono del receptor, aunque este no hubiera aceptado la llamada. Apple ha desactivado la función de FaceTime que ha provocado el fallo y ya trabaja en un parche.





El agujero de seguridad se descubrió este lunes 28, Día de la Privacidad de la Información

• Se trata de un problema el sistema operativo iOS 12. Apple reconoció el inconveniente y ya está trabajando en una solución para el bug. 

El error funciona en los iPhones y iPads con iOS 12,1, y en las computadoras portátiles Apple con MacOS Mojave, que tienen la función Group FaceTime agregada recientemente.

Apple ha tardado apenas unas horas en desactivar la función desde el servidor, a la espera de que pueda desplegar una actualización para todos los usuarios de iOS que corrija este fallo esta misma semana.

• https://www.apple.com/support/systemstatus/

FaceTime - Issue

Today, 4:16 AM - ongoing

Group FaceTime is temporarily unavailable.

El error, introducido con la última versión del sistema operativo iOS, permite que una persona se agregue a sí misma a la conversación, engañando a la aplicación, que piensa que hay una llamada en curso, para escuchar todo el sonido captado por el micrófono del dispositivo al que se está llamando. Además, si el receptor de la llamada toca el botón de apagado o el de volumen, también se retransmite el vídeo captado por la cámara frontal.




La técnica para explotar este «bug» es sencilla, pero en principio no se trata de un procedimiento muy intuitivo. El error se produce cuando un usuario marca un número de teléfono desde FaceTime y, entonces, durante unos segundos, desliza su pantalla hacia arriba y elige la opción para agregar un nuevo interlocutor. En caso de añadirse su propio número -el del emisor de la llamada- y dar paso a una llamada grupal es posible acceder al micrófono del terminal captando el audio de su entorno, incluso si el contacto aún no ha respondido.


Apple recientemente reparó un error de seguridad de FaceTime que permitía iniciar una llamada de FaceTime desde un iPhone. 

• https://support.apple.com/en-us/HT209443

FaceTime

Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation

Impact: A remote attacker may be able to initiate a FaceTime call causing arbitrary code execution

Description: A buffer overflow issue was addressed with improved memory handling.

CVE-2019-6224: Natalie Silvanovich of Google Project Zero

 

Un adolescente de 14 años descubrió el fallo de FaceTime hace 10 días, pero Apple no le hizo caso

Aseguran que hace 10 días, un joven de 14 años aficionado a los dispositivos de Apple descubrió el error, su padre intentó comunicarlo privadamente por vías oficiales a Apple y no pudieron. No les hicieron caso. Solo cuando la prensa lo ha sacado, Apple ha reaccionado.

• https://twitter.com/MGT7500/status/1087171594756083713

Este tuit del día 21 de enero demuestra cómo ya se había reportado el error a Apple, los cuales cuando se quiso contactar con ellos contestaron diciendo que para informar de un error en el sistema, se debían dar de alta como desarrolladores en el portal de Apple (con cuenta gratuita). Una vez dados de alta, enviaron el informe pero Apple no hizo nada al respecto. Entró en un saco de informes de errores donde pueden recibir cientos al día y donde un equipo los intenta verificar uno a uno pero sin que ninguno tenga una etiqueta de: "urgente".

• https://twitter.com/BEASTMODE/status/1090314332225843201