El equipo de seguridad de Sevco descubrió una vulnerabilidad en la nueva función 'iPhone Mirroring', que permite mostrar la pantalla del iPhone en una Mac, provocando que los datos de los usuarios queden expuestos a los empleadores. Esta es una nueva característica introducida por Apple en iOS 18 y macOS Sequoia.
Cuando un usuario utiliza esta función, la Mac creará una carpeta que contiene información sobre las aplicaciones de iPhone que se están utilizando.

Aunque el contenido específico de la aplicación no queda expuesto, el atacante aún puede acceder a la lista de aplicaciones instaladas en el iPhone a través de la inspección automática de la red. Esto puede suponer riesgos para la privacidad, especialmente en entornos de oficina, donde las aplicaciones que los empleados usan en sus teléfonos personales podrían estar expuestas a los empleadores.
Sevco ha notificado a Apple sobre la vulnerabilidad y recomienda a los usuarios que dejen de utilizar temporalmente la función de duplicación de iPhone en sus Mac en el trabajo hasta que Apple publique un parche.
Exponer información sobre las aplicaciones instaladas en el iPhone de un usuario puede conllevar graves consecuencias, como:
Los empleadores pueden tener prejuicios contra los empleados en función de las aplicaciones que utilizan, como aplicaciones de citas, aplicaciones de salud mental, etc.
Algunas aplicaciones pueden estar restringidas o prohibidas en determinados países.
Si se descubre que recopilan datos personales de los empleados sin permiso, los empleadores podrían enfrentar problemas legales.
Se espera que Apple solucione esta vulnerabilidad pronto para proteger la privacidad del usuario.
iOS 18 tiene un error misterioso: el iPhone lee las contraseñas del usuario en voz alta
Una grave vulnerabilidad descubierta en iOS 18 y iPadOS 18 permite que la función VoiceOver lea las contraseñas almacenadas, lo que amenaza la privacidad de los usuarios y genera importantes preocupaciones de seguridad de la información en la industria tecnológica.

El error, identificado con el código CVE-2024-44204, es un error lógico en la nueva aplicación de gestión de contraseñas. La capacidad de VoiceOver de leer la contraseña de un usuario podría exponer información personal, permitiendo acceso no autorizado a la cuenta.
Varios modelos de iPhone y iPad, incluido el iPhone X y modelos de iPad como el iPad Pro y el iPad Air desde la tercera generación en adelante, se ven afectados por este error.
Para solucionar este grave error, Apple lanzó rápidamente actualizaciones de iOS 18.0.1 y iPadOS 18.0.1. Al mismo tiempo, la compañía también confirmó que ha implementado medidas de prueba más rigurosas para garantizar que VoiceOver ya no pueda leer las contraseñas de los usuarios.
Además del error de VoiceOver, la versión de iOS 18 también encontró una serie de otros problemas, como el error CVE-2024-44207 que afectaba a los nuevos modelos de iPhone 16 que permitía grabar mensajes de voz sin notificar al usuario que el micrófono estaba activo. Afortunadamente este problema se ha solucionado.
La vulnerabilidad de VoiceOver fue descubierta por el investigador independiente Bistrit Daha. La aparición de estas vulnerabilidades subraya la importancia de que los usuarios actualicen periódicamente sus dispositivos y muestra el valor de las auditorías de seguridad independientes para detectar y solucionar estos problemas.