"Mi Hacker" desarrollando su mirada "hacker" buscando fallos en WhatsApp

Hoy quería contaros una historia curiosa con mi hija mayor, a la que ya sabéis que llamo cariñosamente "Mi Hacker v2.0" porque desde que nació cambió los ejes de mi vida. A ella le gusta la tecnología, y desde muy pequeña la he enseñado cosas. Algunas veces trucos de hacking, otras simplemente tecnología, pero sobre todo a buscar las esquinitas de la tecnología y saber que algo era una pista porque no estaba funcionando como debía.

Figura 1: "Mi Hacker" desarrollando su mirada

"hacker" buscando fallos en WhatsApp

De eso os conté hace poco como descubrió un pequeño "leak" con el PIN de desbloqueo de WhatsApp, y le hizo mucha ilusión que yo publicará el artículo que podéis leer en: "WhatsApp y el "leak" del PIN de Verificación en 2-Pasos".

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

De esto le cuento mucho, y lee mucho, como el libro de WhatsApp INT: OSINT en WhatsApp, así que, ha seguido afinando el ojo a ver si encontraba algo, y el otro día me mandó un vídeo explicándome algo que no estaba bien.

FaceID & Passcode en WhatsApp

Para explicármelo me envió un vídeo por WhatsApp y un mensaje donde me lo contaba. El proceso que ella uso comenzaba con WhatsApp desbloqueado, como podéis ver aquí. Sí, yo soy "Aa Papaete [corazones][corazones]". Me la como...

Figura 2: WhatsApp desloqueado

Lo siguiente que hace en el proceso de reproducción del fallo es entrar dentro de la carpeta de "Locked Chats" que ya os conté en el artículo: "WhatsApp Locks: Los Chats Restringidos y una pequeña Weakness de Privacidad cuando "resucitan"" no sólo cómo funcionan, sino que tienen un límite cuando lo eliminas, ya que vuelve a aparecer como un chat normal, algo que si leéis el artículo, estuve probando con "Mi Hacker v2.0".

Figura 3: Entrando en Locked Chats

Al entrar en los Locked Chats, lo que sucede es que WhatsApp te pide el Passcode, por seguridad, que es su forma de proteger el contenido de estos de descuidos con la app abierta ante gente curiosa cerca tuya. Y eso nos lleva a esta parte de la app.

Figura 4: Un chat en Locked Chats

Ahora, una vez allí, lo que hace es "minimizar" la app, cambiando de app dentro de iOS, para ir a otra parte del sistema operativo.

Figura 5: Minimizando WhatsApp

Y una vez allí, intentar volver a WhatsApp, donde la se le pide FaceID para desbloquear la app y poder entrar otra vez en los mensajes de la aplicación. Y lo que obtiene es un mensaje que dice que tiene que usar FaceID para poder entrar.

Figura 6: Unlock with FaceID to continue

Sin embargo, lo que le pide automáticamente no es FaceID, sino que cuando le da a FaceID le solicita el Passcode de iPhone para poder entrar.

Figura 7: Passcode de iPhone

¿Por qué? Pues porque la app de WhatsApp recuerda el chat en el que estabas y te lleva al mismo lugar de los Locked Chats, y por tanto hay que poner el passcode para entrar ahí.

Figura 8: Locked Chats

Al terminar el proceso estuvimos hablando un rato, sobre por qué pide FaceID cuando te va a pedir el passcode. Miramos a quitar FaceID del bloqueo de WhatsApp, para ver porque pedía las dos cosas, y la verdad es que el comportamiento es un poco "random", porque a veces a mí me pide FaceID sólo. Otras FaceID y luego el passcode (incluso cuando no hay bloqueo de app con FaceID).

Figura 9: App lock desactivado

Pero... ¿por qué os cuento esta historia? Pues porque me encanta el "thinking out of the box" que muestra "Mi Hacker v2.0" en estas discusiones. Hay algo que no acaba de encajar, y hay que encontrar qué es. Además de que tenga esa mirada fijándose en los detalles, que es lo que hace a un buen hacker serlo.  Las hipótesis son:

• Se necesita FaceID para activar los WhatsApp Locks y por tanto siempre comprueba FaceID como poco.

• Lo hace muy rápido, y pide el passcode sólo cuando no lo ha podido probar de forma segura.

• Si no hay FaceID en el bloqueo entonces siempre pide los dos.

Y ahora, que tenéis proceso, reproducidlo vosotros y a ver cómo funciona en vuestra versión y terminal, que seguro que hay algún matiz. Nosotros vamos a seguir probando todos los escenarios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: Passkeys para hacer más cómodo el proceso de Login y reducir los SMS-OTP

Una de las características que ha introducido WhatsApp para mejorar su proceso de autenticación es la del uso de las Passkeys. No es que WhatsApp haya cambiado su forma de iniciar sesión ten tu cuenta, con el famoso SMS que se usa como canal OTP de desafío a tu número móvil, sino que se ha añadido, una vez instalado en un dispositivo, poder autenticarse mediante un sistema de clave privada / clave pública como alternativa al SMS.

Figura 1: WhatsApp: Passkeys para hacer más cómodo

el proceso de Login y reducir los SMS-OTP

Es decir, la idea es reducir el número de SMS-OTP que se envían - y que han sido tradicionalmente el punto de ataque para robar cuentas de WhatsApp -, permitiendo que el usuario pueda utilizar las Passkeys - si las tiene -, como forma cómoda y segura de autenticarse.

Figura 2: Passkeys en WhatsApp

Como podéis ver en la imagen superior del Help Center de WhatsApp, las claves se pueden utilizar opcionalmente, si se tienen, lo que hará mucho más cómodo el proceso de autenticación, ya que será como autenticarse como con cualquier otra credencial de los gestores de contraseñas que tienen Android e iPhone, por lo que se puede utilizar FaceID o la Biometría de la huella dactilar.

Figura 3: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

Es decir, para el usuario será más cómodo porque no hay que esperar que llegue el SMS OTP, no tendrá que leerlo y escribirlo, y no se producirá una transmisión del código para que pueda ser capturado por un posible atacante.  Pero si no lo tiene, no pasa nada, el usuario puede autenticarse como siempre.

Figura 4: Creación de Passkeys

Crear la Passkey es tan sencillo como podéis ver en estas capturas. Se entra en Account -> Passkeys, le damos al botón de Continuar y la Passkey es creada. Y tendremos una solución temporal de autenticación utilizando claves criptografías.

Figura 5: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Una vez que pasa esto, sólo hay que almacenarla en el gestor de credenciales de tu dispositivo, lo que hace WhatsApp de manera automática. En mi caso, que tengo un iPhone, me autentico con FaceID y se queda guardada en el Password Manager de Apple.

Figura 6: Creación, almacenamiento y borrado de las Passkeys

Como se ve en la imagen anterior, se puede eliminar la Passkey, y si existe esa Passkey, se puede utilizar para iniciar sesión en cualquier dispositivo sin utilizar el SMS-OTP tradicional. 

Conclusión

Este proceso implica dos cosas a tener en cuenta que quiero recalcar para que sea fácil entender este sistema de autenticación:

1.- No sustituye el SMS-OTP como forma permanente de autenticación: Es una alternativa que puede ser utilizada, pero si has perdido las Passkeys porque has perdido el dispositivo, con recuperar la SIM puedes volver a iniciar sesión. 

2.- Si alguien tiene las Passkeys podría iniciar sesión: Así que debes, como ves en la figura 5, eliminar las Passkeys antes de cambiarte de Android a iPhone, o de cambiar de Password Manager, porque si alguien pudiera acceder a ellas, tendría acceso a tu sesión.

3.- Más info para verificar un robo de cuenta: He querido añadir este punto porque al final, si alguien te clona la SIM o consigue tu OTP, y tú tienes también el SMS-OTP haciendo un login en paralelo, pero además tienes las Passkey, puede ser que Meta use las Passkeys como elemento para determinar que estás sufriendo un ataque, así que no viene mal tenerlas. 

Por último, recalcar que, a día de hoy, el proceso de login sólo se hace cuando hay cambio de dispositivo, o un cambio drástico en el sistema operativo, por lo que ya a día de hoy hay un proceso de autenticación para mantener la seguridad de la cuenta mediante claves de dispositivo que también se guardan en el Password Manager, así que digamos que esto es una evolución que permite utilizar estas Passkeys más allá del uso actual.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

George Clooney me desbloquea el FaceID del iPhone... ¡Seguro! (O eso dicen los Cognitive Services)

Ya os conté la anécdota, hace tiempo, de cómo el Cognitive Service de Face Recognition en Microsoft Azure utilizado para comparar caras confundía mi cara en una foto mía con la de George Clooney, decidiendo que las personas que aparecían en las diferentes fotografías tenían la misma cara. No, no es que yo sea George Clooney, pero algo en los datos de entrenamiento hacen que algunas facciones o expresiones hagan pensar al modelo de IA de Visión Artificial que son la misma cara.

Figura 1: George Clooney me desbloquea el FaceID del iPhone... ¡Seguro!

(O eso dicen los Cognitive Services)

Como anécdota estuvo graciosa, y yo lo he contado muchas veces en muchas conferencias. Es una foto del año 2016, donde yo busqué una fotografía de George Clooney que estuviera más o menos en la misma postura, y listo. Aquí lo tenéis, y tenéis la historia completa en el artículo de "¿Es Chema Alonso realmente George Clooney?".

Figura 2: ¿Es Chema Alonso realmente George Clooney?

Para el Cognitive Service de Face Recognition en Azure, George Clooney y Chema Alonso son la misma persona - o tenemos la misma cara - en esas fotos.... con un grado de Confianza. Y esto es importante.

El mismo experimento, año 2022

Esta semana, en el año 2022, me afeité, me puse camisa, me repeiné, y Mi Hacker se empeñó en hacerme una foto con unas gafas que se había comprado para ella. Yo, resignado acepté a ponerme las fotos y posar. Y cuando vi la fotografía, pensé... ¿engañaría otra vez algún Cognitive Service de Visión Artificial al comparar mi foto con una de George Clooney?

Ver esta publicación en Instagram

Una publicación compartida de Chema Alonso (@chemaalonso)

Así que nada, publiqué la foto en Instagram para ver qué decía la gente de a quién me parecía, y después de las coñas y el "cachondeito" de verme afeitado, con camisa, con el pelo corto, y esas cosas, el resultado es similar al anterior, y creo que George Clooney podría hackear el FaceID de mi iPhone. 

Figura 4: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

En esta ocasión utilicé el Cognitive Service de Face Comparing en Face++ y primeramente seleccione una foto de George Clooney con gafas del estilo a las que llevo yo en la fotografía. Ningún misterio, un Googletazo y aquí tenemos la foto elegida, que usé.

Figura 5: Foto de George Clooney para la PoC

El resto, ya lo sabéis, subí la foto que publiqué en el Instagram, la foto de George Clooney, y a ver qué determina el Cognitive Service de Face Comparing en Face++. El resultado, pues nada, que la probabilidad de que seamos la misma persona o que sea la misma cara es "Very High".

Figura 6: Probabilidad muy alta de que seamos la misma persona

Y si miramos el detalle concreto en el JSON de la respuesta que da la API, vemos que el porcentaje de confianza es superior al 78 %, así que si hay que hacer Ocean algo, yo me apunto al casting de doble para las acciones difíciles de acción.

Figura 7: Confianza que seamos la misma persona mayor de 78%

Usando la IA de Google en Google Lens, el resultado es bastante similar. He subido la foto, y me saca 4 fotos, dos de ellas, son la de George Clooney, así que con este sería el tercer Cognitive Service de Visión Artificial que da más o menos el mismo resultado. Algo debe haber.

Figura 8: Google Lens buscando por la foto. Dos son de George Clooney.

Bromas a parte, que esto es algo que da mucho juego, lo importante es entender que los motores de IA dan probabilidades de que algo sea correcto. Pero un 78% de que seamos la misma persona, a pesar de que se interprete como "Muy alta probabilidad", no es 100%, así que más vale que cuando utilicemos la IA, tengamos en cuenta eso. Eso sí, con ese porcentaje, seguro que desbloquea Face ID en mi iPhone.

Cuando una persona decide darle al vuelta a la predicción de los datos, la IA y la tecnología. @RafaelNadal haciendo bueno el 4% que el #BigData y la #IA le daba en el WinPredictor. #vamosrafa @Telefonica pic.twitter.com/5cfpS0l3CT

— Chema Alonso (@chemaalonso) January 30, 2022

Es lo mismo que decía con la IA del Predictor de la Final del Open de Australia 2022, donde Rafa Nadal hizo bueno el 4% de probabilidades de ganar que tenía, porque, al final, un 4% no es un 0% de probabilidades. Pues lo mismo con los Cognitive Services que utilicemos en nuestros servicios, hay que vivir con los porcentajes y con las posibilidades de error, y más cuando sean soluciones de seguridad, privacidad o protección personal.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhasApp Screen Lock FaceID ByPass arreglado en WhatsApp 2.20.71

Hace un par de semanas descubrí un fallo de seguridad que afecta a las medidas de privacidad en WhatsApp muy curioso que permitía saltarse una protección de privacidad en la app muy utilizada por todos los usuarios de iPhone, el Screen Lock inmediato con FaceID, y que podía permitir a cualquier usuario leer mensajes de chats que no debería poder ver, lo que haría las delicias de todos esos que quieren espiar WhatsApp a otros.

Figura 1: WhasApp Screen Lock ByPass arreglado en WhatsApp 2.20.71

Como os conté en mi cuenta de Instagram, como siempre hago, lo reporté al equipo de WhatsApp en Facebook, lo reprodujeron, me agradecieron el reporte y me dijeron que para la versión 2.20.71 lo arreglarían, así que como ya está en despliegue, os lo explico en detalle.

View this post on Instagram

Hace una semana reporte a Facebook un bug de Privacidad en WhatsApp para iPhone que descubrí y en la próxima versión sale corregido. Muy majos en Facebook y WhatsApp con el reporte. Cuando eso pase os lo contaré pero mientras os dejo un Post hoy en el blog de cómo las opciones por defecto de Telegram pueden hacer que te llame cualquiera... así que toma nota. https://www.elladodelmal.com/2020/07/telegram-o-restringes-quien-te-puede.html

A post shared by Chema Alonso (@chemaalonso) on Jul 4, 2020 at 1:45am PDT

Para que se pueda reproducir el problema primero os cuento el entorno en el que se puede reproducir si tienes una versión aún sin parchear en tu iOS, ya que el fallo es en WhatsApp para iPhone hasta las versiones 2.2.70.

Figura 3: Bloqueo de Pantalla inmediato con FaceID.
Está en Cuenta -> Privacidad -> Bloqueo de Pantalla

La característica de Bloqueo de Pantalla o Screen Lock con FaceID en WhatsApp iPhone permite que pongas una protección basada en FaceID para poder ver los chats de WhatsApp. La idea es que si alguien accede a tu terminal iPhone cuando lo tienes desbloqueado e intentas acceder a la app de WhatsApp se te hace una validación por FaceID, lo que hace que no puedas ver los mensajes sin pasar por el reto de FaceID.

Figura 4: Mensajes in-App por defecto en WhatsApp para iPhone

Sin embargo, si tienes la configuración por defecto de ver mensajes in-App se puede hacer un trick para lograr el Screen Lock Bypass y ver los mensajes de WhtasApp en tiempo real, que es lo que ahora en esta versión está arreglado por el equipo de desarrollo en la nueva versión.

Screen Lock ByPass en WhatsApp para iPhone

Para hacer el ataque hay que entender que el terminal iPhone está desbloqueado y el atacante intenta ir a ver la pantalla de chats de WhtasApp, pero no puede porque está bloqueada por Screen Lock y FaceID.

Figura 5: WhatsApp protegido por FaceID.

Para saltarse Screen Lock con FaceID lo que hace el atacante es:

1.- Realiza una llamada desde su teléfono móvil al terminal iPhone de la víctima usando WhtasApp. Esta llamada se cuelga desde el terminal iPhone de la víctima, pero quedará en la lista de llamadas perdidas de iOS.

Figura 6: La llamda del atacante queda en la lista de llamadas de WhatsApp

2.- Desde la lista de llamadas perdidas del terminal iPhone de la víctima se hace una llamada desde el mismot terminal de la víctima al WhtasApp del atacante, con lo que se abrirá la pantalla de "Ringing" en WhatsApp. Desde el terminal del atacante se acepta la llamada.

3.- Y aquí llega el Bug: Los mensajes de WhatsApp entran en la pantalla de víctima desde la llamada como notificaciones. Es decir, sin haber desbloqueado FaceID, si la llamada se ha lanzado desde la lista de llamadas de iPhone, los mensajes van apareciendo en la pantalla de la llamada.

Figura 7: Si has hecho el proceso bien, podrás ver las notificaciones
de mensajes sin haber pasado por FaceID

Una cosa importante a tener en cuenta es que este bug permite leer los mensajes según van entrando, pero no los antiguos. Y no, no se corrige si no tienes activadas las notificaciones a nivel de sistema operativo - es decir, en el centro de mensajes de iOS -, lo que hace que la protección de Screen Lock sea inútil para los nuevos mensajes que van entrando si están activadas las notificaciones in-App.

Figura 8: Según entren los mensajes los podrás leer

Facebook ha arreglado este bug en la versión 2.20.71, así que debes actualizar esta versión cuanto antes. Por supuesto, su impacto es limitado y solo en entornos cercanos, pero la privacidad personal es importante y por eso WhatsApp añadió esta característica de Screen Lock que con este proceso fallaba.

El bug es solo para terminales iPhone - en Android no tenían este problema -, pero es una de las opciones a configurar si quieres tener protegido tu WhatsApp a prueba de balas, y evitar que te espíen el WhatsApp personas que no deseas. 

Figura 9: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

Personalmente me alegra ver cómo se lo reporté a Facebook y en dos semanas lo han parcheado, y llegué a él tras ver esa pantalla y conocer cómo son las entrañas de iOS. Han sido muchas veces viendo cómo hackear iOS en iPhone & iPad - por eso hicimos el libro - y después de conocer cómo hace las cosas iOS con temas como DirtyTooth, fue ver esa pantalla de llamar con el FaceID bloqueado... y buscar el entorno de Screen Lock porque seguro que se lo saltaba. Y así fue. 

Figura 10: WhatsApp for iPhone Screen Lock ByPass PoC

Os dejo el vídeo que he hecho con mis compañeros del equipo de Ideas Locas para que veáis el proceso completo que os he descrito en un minuto.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

¿Es Chema Alonso realmente George Clooney?

Dice la Ley de Betteridge que cualquier titular que hace una pregunta puede responderse con una respuesta que diga: "No.". Y no lo he puesto por casualidad, ya que este verano he estado leyendo el libro de "En defensa de la ilustración" y muestra muchos de estos ejemplos de la Ley De Betteridge, así que he querido aprovecharme de él para comenzar este post que habla justo de eso, de lo que pone en el titular.

Figura 1: ¿Es Chema Alonso realmente George Clooney?

Si has leído el titular tal vez has podido pensar que "lo tengo muy creído" por tan siquiera compararme con ese adonis que fue y es George Clooney. A mí ni se me ha ocurrido, pero para mi mamá te garantizo que yo soy mucho mas guapo que él. La coña es que mis amigos y mucha gente me hace la coña de que nos parecemos desde hace mucho tiempo. De hecho, cuando pusimos de nombre ElevenPaths a la empresa de ciberseguridad, todos me hicieron chistes con el Ocean´s Eleven. 

View this post on Instagram

Esa fotaca con Mr. Alice Cooper. Ouh yeah! }:)

A post shared by Chema Alonso (@chemaalonso) on Sep 9, 2019 at 11:23am PDT

Aguanto los chistes y las bromas con estoicismo y hasta con cierto cumplido, pero como George se va haciendo mayor, y yo también, se van relajando. Aunque de vez en cuando aparece algún colega que lo dice. Y ayer mismo, cuando publiqué la foto con Alice Cooper, mi amigo Nikotxan  - creador de Cálico Electrónico - me lo volvió a decir por WhatsApp. A su más puro estilo de colega.

Figura 3: Nikotxan me vacila con George Clooney una vez más

Así que me dije... ¿por qué no probarlo con un Cognitive Service de Artificial Vision y dejar claro que no nos parecemos en nada? Así que me puse a ello. Primero utilicé el Cognitive Service de Celebrities de Microsoft Azure para ver a quién reconocía en la foto de Alice Cooper. Y sí, somos él y yo con una alta confianza.

Y los Cognitive Services de Microsoft lo confirman. Somos nosotros }XD @Azure @MicrosoftES pic.twitter.com/lQUNkoAMuc

— Chema Alonso (@chemaalonso) September 9, 2019

Después me bajé varias fotos de George Clooney buscando aquellas en las que tenía un gesto similar al que tengo yo en la foto. No me lo curré mucho, que tampoco es "rocket science". Usé mi ojo humano y mis servicios cognitivos del cerebro para seleccionar alguna en la que nos "parecieramos" algo, y lo subí al Cognitive Service de Celebrities para comprobar que era el gran George Clooney.

Figura 5: George Clooney en el Cognitive Services de Celebrities

Y una vez hecho hecho esto, lo llevé al Cognitive Service de Face Recognition, para comprar las caras en dos fotografías, para saber si nos parecíamos algo o nada. Y lo subí. Mi sorpresa es que me dio un 0.44. Eso es mucho. Demasiado. Cerca de superarlo.

Figura 6: Cerca de ser la misma persona, según la IA

Pensé que algo estaba mal, así que me comparé con una foto del genial Richard Pryor - con el que creo que me parezco menos -, y como podéis ver, la probabilidad de que seamos la misma persona es casi cero.

Figura 7: Con Richard Pryor se lo pongo más fácil

Pero... en la anterior es casi 0.5. ¿Y si busco alguna mía en la que me parezca algo más? Así que fui a por la foto con la que hago todos los chistes en escenario, y la subí al Cognitive Service de Celebrities.

Figura 8: El servicio de Celebrities no tiene dudas de que soy yo

Como podéis ver, el Azure Cognitive Service de Celebrities me reconoce a mí sin ningún lugar a duda, tal y como reconocía a George Clooney en esa foto sin ningún lugar a dudas. Pero.. y ¿si las subo ahora al Cognitive Service de Face Recognition? Pues sorpresa.

Figura 9: Ahora sí que las coñas van a ser míticas.

Para el Cognitive Service de Face Recognition en Azure, George Clooney y Chema Alonso son la misma persona - o tenemos la misma cara - en esas fotos. Así que puedo decir ya, con orgullo, que he hackeado mi primera AI, lo que tal vez me permitiera desbloquear el iPhone de George Clooney. 

What Else?

iPhone X: Primeras impresiones con iOS 11.1 & FaceID #iPhoneX

Ayer por la mañana terminé de configurar mi nuevo iPhone X. El proceso de migración de un iPhone siempre es algo que me genera pereza, pero lo cierto es que no fue demasiado mal. Primero instalar el nuevo iPhone X como un nuevo dispositivo, luego actualizarle el software de iOS a la última versión para tener la misma que en mi iPhone 7, luego backup del iPhone 7, restaurar el iPhone X desde un backup en iTunes, comprobar todas las apps una a una para ver que se han migrado documentos y configuraciones.

Figura 1: iPhone X: Primeras impresiones con iOS 11.1 & FaceID

Y guardar el viejo iPhone 7 durante unos días para ver que realmente no necesitas nada de él durante ese periodo. En esta ocasión, durante la configuración de iPhone X tienes la fase de FaceID, la nueva forma de autenticarse para desbloquear el passcode del terminal de forma rápida. 

Ya tengo mi juguete nuevo. Ya os contaré la experiencia con el iPhone X }:) A probar el dirtytooth ya mismo..,

A post shared by Chema Alonso (@chemaalonso) on Nov 8, 2017 at 5:01am PST

Quería probarlo, porque hay varias cosas que merece la pena tener presentes en este cambio de estrategia, y me voy a explayar un poco en contarlas:

- TouchID & Biometría de huella: Seguro que muchos estabais cómodos con la huella dactilar para desbloquear cómodamente el terminal iPhone. Sin embargo, tiene muchos "corner cases" que afectan a la privacidad del dueño del terminal si lo usas. El primero de ellos se explico con mucha sorna, y es que mientras duermes cualquiera puede ponerte el dedito y desbloquear el dispositivo. Esto, que parece una broma, llevado a extremos, es igual que si te drogan, te emborrachan o te anestesian. 

Figura 3: El primer hacking de Touch ID con huella falsa recogida de mesa

El segundo de los problemas de privacidad atribuido a TouchID es que si te copian una huella dactilar, te la copian para siempre, y ya hemos visto casos de cómo saltarse TouchID robando una huella de una mesa. Si a esto le añades que cada vez que cruzas una frontera de un país le estás entregando tus huellas dactilares a todos los cuerpos y seguridad de los estados, usar TouchID equivale a darle acceso a todos ellos para desbloquear tu terminal iPhone. Hay muchas dudas sobre la calidad de Apple TouchID.

- FaceID y biometría facial: En esta ocasión Apple opta por eliminar la huella y utilizar la biometría de la cara - o de la cabeza -, pues te obliga a hacer un círculo moviendo la cabeza para conseguir los detalles de tu cara. Esta información, por supuesto, no está recogida en las fronteras, donde por ahora las cámaras hacen fotos y no recogen información biométrica de la cara.

- Secure Enclave: Al igual que la información de TouchID, los datos biométricos recogidos para FaceID se almacenan en el Secure Enclave, que es una zona segura del chipset del terminal. Esta información nunca circula hacia a Internet, y ni siquiera los programadores de apps pueden acceder a ellas. Solo pueden solicitar la autenticación vía FaceID. Esto está explicado en el documento de FaceID Security Guide que Apple ha publicado.

Figura 4: Apple FaceID Security Guide

Esto permite que cuando desbloqueabas TouchID, al igual que cuando utilizabas ¡Oye Siri! - que almacenaba la biometría de tu voz para esa expresión -, y ahora con FaceID, puedas hacerlo sin conexión alguna a Internet, y además que no haya información en ningún servidor de Apple con estos datos - supuestamente -.

- Cobertura legal de biometría: Las restricciones legales de un PIN y de la biometría son distintas en EEUU, y por eso hay cierta controversia con su uso. En ese país, un policía podría exigirte el uso de la huella digital o facial.

FaceID es como mi madre

Se configura en muy poco tiempo, y su respuesta es realmente rápida. Yo lo he probado con y sin gorro, con el pelo suelto y recogido, con y sin gafas de sol, duchado con gorro de toalla y sudado después de hacer deporte, y te reconoce enseguida. Como mi madre. Incluso te reconoce en ángulos que no tienen que ser  para nada rectos, lo que genera para mí un problema de seguridad añadido.

¿Feature de IN-Seguridad en FaceID?

El asunto es que FaceID te reconoce constantemente, y si estás utilizando el terminal y lo dejas sobre la mesa, puede que esté desbloqueado y no lo sepas. Hasta el momento, cuando el terminal estaba bloqueado, se veía la pantalla de bloqueo. Ahora, puedes estar viendo la pantalla de bloqueo y el terminal está desbloqueado. ¿Cómo se sabe que está desbloqueado? Pues por el candadito de arriba que se abre.

Figura 5: El terminal está desbloqueado con FaceID ¿lo has visto?

Esto quiere decir que, levantas el terminal para ver la hora y lo vuelves a dejar sobre la mesa, puede que lo dejes desbloqueado y no te enteres, que a mí ya me ha pasado varias veces. La forma de evitar esto, es decir, la forma de asegurarse de que el terminal está bloqueado es apagando la pantalla con el botón de encendido y apagado para que se vuelva a bloquear y poner en negra la pantalla.

FaceID por TouchID

Si las apps funcionaban con TouchID, éstas van a seguir funcionando con FaceID. En nuestro caso, nosotros integramos Latch con Touch ID y sin necesidad de hacer ningún cambio la app funciona ahora con FaceID, así que si la tenías configurada será igual de útil.

Figura 6: Latch con FaceID

Además, el sistema de Latch Cloud TOTP permite que todos los tokens TOTP pasen de iPhone 7 a iPhone X del tirón con el restore del backup de iOS.

El DarkMode en iOS 11

iPhone X vuela, FaceID va súper-rápido, pero con las conexiones Wi-Fi & BlueTooth siempre encendidas - hay que deshabilitarlas en Settings y no se puede hacer desde el Centro de Control -, la batería dura poco. Además, hay quejas de que el terminal funciona regular cuando hace frío, así que se ha puesto de moda usar el DarkMode. Este no es más que un modo de colores invertido que pinta menos blancos en la pantalla y más colores negros, por lo que consume menos.

Si pones el DarkMode, la realidad es que el candadito de FaceID aún se ve menos, como el vídeo que os he dejado en la Figura 5. Así que ten cuidado con eso.

Dejar un mensaje al dueño de iPhone con iOS 11 con la pantalla bloqueada

Una curiosidad que tiene el nuevo iOS 11 es la posibilidad de editar los ScreenShots. Esto permite que, con la pantalla bloqueada, hagas un screenshot de la misma. En iPhone X pulsando a la vez el botón de encendido/apagado y el de subir volumen.

Figura 7: Con la pantalla bloqueada se pueden hacer screenshots y dejar mensajes escritos

Una vez que haces la captura, puedes editarla con la nueva herramienta de captura de pantallas y ponerle textos al dueño del terminal. Una curiosidad más. Antes, si la cámara estaba habilitada, la gente se dejaba fotos y grabaciones de vídeo. Ahora si se deshabilita la cámara, se pueden seguir haciendo siempre los screenshots.

Últimos primeros comentarios para acabar

La verdad es que el terminal no es demasiado grande si tu medida era el iPhone 7. Casi no se nota que es un poco más grande. La pantalla, cuando se usan las apps adaptadas al nuevo tamaño sí que es una gran mejora. Los colores, además, se ven espectaculares.

Los nuevos gestos, sin el botón de Home, son un poco distintos, especialmente si te gusta eliminar las apps en segundo plano, ya que tienes que desplazar hacia arriba, parar en el medio para llegar al carrusel de apps y después dejar pulsado un par de segundos para que salga el botón en la esquina superior izquierda de que ya puedes eliminarlas.

Saludos Malignos!