La primera de las opciones inseguras por defecto que tienen los terminales iOS es la de mostrar las previsualizaciones de los mensajes por pantalla. Esto es algo que hace más cómodo para el usuario la lectura de un SMS, un Whatsapp, una alerta de reunión o un mensaje de correo electrónico, pero que supone un riesgo para la privacidad de la persona. Para cualquier persona le bastará con observar la pantalla y acceder al contenido que allí se muestre, sin necesidad de desbloquear el terminal.
Por supuesto esto atenta contra la privacidad del usuario, y para evitar esto, versión a versión de OS, se ha ido creando un sistema mucho más granular de configuración, que permite al dueño del terminal elegir hasta tres sitios diferentes para recibir las alertas y previsualizaciones de los mensajes de cada una de las aplicaciones, lo que hace que al final siempre queden algunos por pantalla. Esto es así porque se debe ir, una a una en cada aplicación, configurando una previsualización o no de los mensajes que se van a recibir, lo que es un trabajo tedioso.
Imagen 02.15: Configuración de opciones de previsualización en mensajes SMS e iMessage.
Si esta es la configuración que tiene la victima, el atacante puede usar uno de los trucos más sencillos para robarle cualquier cuenta de servicio que tenga asociado el número de teléfono para recuperar la contraseña, y la más evidente de todas estas es la cuenta de Gmail.
Al dirigirse a las opciones de recuperación de contraseña de Gmail y solicitar la opción de "He olvidado mi contraseña", una de las opciones que muestra es la de enviar un mensaje SMS al número de teléfono asociado a la cuenta. Si la cuenta está asociada al terminal iPhone del objetivo, bastará con solicitar esa opción, es necesario por tanto conocer el número de teléfono del objetivo.
Una vez solicitado, el atacante solo deberá esperar a que llegue el SMS con el código. En el caso de los correos electrónicos de Gmail, aparece el número de verificación que será necesario para robar la contraseña de un usuario, y apoderarse así de la cuenta.
Imagen 02.16: Solicitud de recuperación de contraseña por SMS en Gmail.
Este ataque no solo se puede hacer a Gmail, sino a cualquier sistema de recuperación de contraseñas que se haga por SMS, si el usuario tiene activada la previsualización de los mensajes. Esto también es trasladable a los sistemas de recuperación por correo electrónico, aunque suele ser más complicado que la información necesaria para recuperar la cuenta entre en la previsualización que ofrece el sistema operativo iOS.
Como se puede ver, en el caso de Hotmail llega en dos mensajes, pero se puede ver perfectamente el código en el segundo de ellos, con lo cual es uno de los servicios que pueden ser atacables con esta técnica de previsualización SMS. Sin embargo, en el caso de que estén configuradas solo las opciones de recuperación por medio de un mensaje de correo electrónico enviado a una cuenta asociada, esta estrategia no es válida ni para Google ni para Hotmail, ya que el mensaje es mucho más largo y no se puede ver la URL que hay que utilizar en la previsualización.
