Si le das tu iPhone + Passcode a alguien, ¿qué cosas dañinas podrían hacer a tus datos/privacidad/seguridad?

Espero que la información de la respuesta se utilice teniendo en cuenta la intención ética, y que no haya intención de hacer un mal uso de la información.

¿Qué cosas dañinas pueden hacer?

Jugando al diablo aquí, yo haría lo siguiente:

1. Cambiar los datos de las huellas dactilares/caras para utilizarlos con Touch ID/Face ID. Eliminaría las huellas dactilares/caras existentes y añadiría las mías. (Esta acción podría pasar algo desapercibida en caso de que tenga varios dedos registrados. Podría eliminar un solo dedo y registrar uno de los míos. Sin embargo, esto se detectaría al acceder a aplicaciones de terceros, como la App Store, donde se te pide la contraseña de tu ID de Apple, como se explica en el punto 3 más abajo).

2. Cambia la propia clave de acceso. (Esto podría pasar desapercibido inicialmente, hasta que por casualidad al introducir el código de acceso, digamos por ejemplo después de un reinicio).

3. Si cambio los datos de Touch ID/Face ID, obviamente podré bloquear y desbloquear el iPhone libremente sin restricciones usando Touch ID/Face ID o Passcode.

   Habiendo introducido mis propios datos de Touch ID/Face ID tendré acceso a un montón de ajustes. También tendría acceso a toda la serie de aplicaciones de terceros que estuvieran protegidas por Touch ID/Face ID, como WhatsApp, Dropbox, etc. (Aunque las aplicaciones de terceros, como la App Store, te pedirán que introduzcas la contraseña de tu ID de Apple antes de habilitar los nuevos datos de huella dactilar/cara). Algunas aplicaciones de terceros, como 1Password, están bien protegidas, ya que pedirán la autenticación mediante la contraseña de la cuenta antes de habilitar los datos de huella dactilar/cara recién registrados.

4. Sería capaz de enviar mensajes no deseados utilizando aplicaciones de chat de uso común como Mensajes/WhatsApp a los contactos. También borraría la conversación para eliminar los rastros.

5. Borrar los datos de iCloud. Esto conducirá a la pérdida irreversible de datos críticos sincronizados y almacenados en iCloud, como contactos, correos electrónicos, fotos, notas, documentos, etc.

6. Eliminar los datos almacenados y sincronizados en iCloud por apps de terceros.

7. Desinstalar aplicaciones libremente, lo que probablemente le hará perder los datos almacenados localmente/no respaldados.

8. Elimina otros dispositivos vinculados a tu ID de Apple a través de los ajustes de iCloud.

9. Cambia la configuración de privacidad habilitando/deshabilitando el acceso de aplicaciones específicas a los datos de ubicación/contacto, etc.

10. Simplemente accede/copia los datos privados como los contactos, las notas, las fotos sin cambiar nada como se ha comentado anteriormente y así, nunca te das cuenta.

11. Copia los datos de tu iPhone desde las aplicaciones que admiten Compartir archivos . Una vez que simplemente necesita para desbloquear el iPhone, conectarse a un ordenador con iTunes instalado y la confianza tanto en el ordenador y el iPhone.

12. Sería capaz de vincular un nuevo dispositivo a su ID de Apple utilizando Inicio rápido de iOS . Si tu aplicación de cliente de correo electrónico está configurada en el iPhone con el correo electrónico de tu ID de Apple, yo eliminaría la alerta de correo electrónico que recibes cuando un nuevo dispositivo está vinculado a tu ID de Apple.

13. Eliminar el registro de llamadas de la aplicación Teléfono.

14. Deja opiniones y valoraciones de la aplicación en la App Store. Esto puede ser difícil de notar fácilmente.

15. Activa/activa Compartir en Familia e invítame a tu familia. A continuación, puedo acceder a las aplicaciones de pago y a la música en mi dispositivo. Después de hacer la acción, también puedo quitarme de Compartir en familia o desactivarlo, y eliminar los rastros.

Obviamente, no podría acceder/cambiar los ajustes que requieren la contraseña del ID de Apple. Esto incluye la desactivación de Buscar mi iPhone y el cierre de sesión/reinicio de sesión del iPhone.

¿Qué rastro habría para identificar esas acciones?

Desde el punto de vista del usuario, los rastros para identificar las acciones podrían ser mínimos o nulos. No hay ningún mecanismo en el dispositivo para acceder a los registros de acceso del mismo.

Supongamos que el usuario nunca intenta desbloquear el iPhone o las aplicaciones mediante Touch ID/Face ID y que siempre utiliza el código de acceso. Aun así, podrían acceder y copiar datos como fotos y contactos a través de un medio no identificable como AirDrop.

Parece que Face ID es ligeramente mejor a la hora de protegerlo aquí en comparación con Touch ID, ya que actualmente solo permite registrar una cara a la vez.

Podrían cambiar su contraseña en cualquier sitio web que tenga un mecanismo de restablecimiento de contraseña basado en cualquiera de ellos:

• enviando un correo electrónico de restablecimiento de contraseña a una cuenta de correo electrónico configurada en su dispositivo, o
• autenticación de dos factores utilizando su dispositivo.

Podrían pedir productos o servicios o realizar pagos si tienes aplicaciones que lo permitan.

Con el acceso a tu correo electrónico y a cualquier otra fuente de información en el dispositivo, como las aplicaciones de banca online, existe la posibilidad de que puedan utilizar un enfoque de "escalada de privilegios" para obtener más acceso a las cuentas o servicios, recopilando suficiente información para poder responder a las preguntas de seguridad necesarias para dar instrucciones o realizar cambios por teléfono. Por ejemplo, es probable que la dirección de tu casa esté en tus contactos, que algunas aplicaciones almacenen tu fecha de nacimiento, que una aplicación de banca online muestre los detalles de las transacciones recientes, y eso podría ser suficiente para permitirles cambiar tu dirección postal registrada, que luego podrían utilizar para solicitar nuevas tarjetas de crédito o PIN de tarjetas, restablecer las contraseñas de banca online si el banco sólo lo permite por correo, etc.

Podrían eliminar los registros de correo electrónico de estas acciones, pero probablemente no los registros en línea de pedidos o transacciones bancarias.