Quem usa dispositivos iOS provavelmente já se deparou com um pop-up que surge do nada e pede sua senha do Apple ID. Ele pode aparecer na App Store e também fora dela, se algum processo for executado em segundo plano.

Como aponta o desenvolvedor Felix Krause, isso expõe os usuários a ataques de phishing, com pop-ups que parecem legítimos mas roubam sua senha do Apple ID.

Pop-up legítimo à esquerda, e tentativa de phishing à direita.

Krause explica que é incrivelmente fácil recriar o prompt de senha: são menos de 30 linhas de código que, aparentemente, podem ser colocadas em qualquer aplicativo legítimo para iOS e passar pela análise da App Store.

“Mostrar uma caixa de diálogo que se parece com um pop-up do sistema é muito fácil, não há código mágico ou secreto envolvido. Isso literalmente está nos exemplos fornecidos pelos documentos da Apple, mas com um texto personalizado”, escreve Krause em seu blog.

O desenvolvedor abriu um chamado com a Apple para resolver esse problema. A sugestão dele: exigir que o usuário vá até os Ajustes do iOS para colocar a senha, em vez de inseri-la em pop-ups.

Enquanto isso não é resolvido, ele sugere um paliativo simples: quando aparecer o pop-up, pressione o botão Home. Se ele sumir, era uma tentativa de phishing; senão, é uma caixa de diálogo do sistema — ela roda em um processo separado no iOS, e não como parte de um app.

Outra alternativa é tocar em “Cancelar” no pop-up e ir manualmente até os Ajustes para inserir a senha. É a mesma ideia por trás de não clicar em links de e-mails, e sim digitar o endereço no navegador.

Com informações: 9to5Mac.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Caleb Enyawbruce
Também nunca entendi isso
Caleb Enyawbruce
Caramba... Valeu o esclarecimento
Caleb Enyawbruce
Já respondi
Adriano
Não foi isso que eu disse mas tudo bem, o "Corvo" esclareceu no comentário abaixo.
Marcos
Por que não autenticar com a digital?
LuisPauloLohmann
Exatamente. Aqui está o artigo original: https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking onde o autor diz "This is just a proof of concept".
Caleb Enyawbruce
Então o app mostrado no print não é um caso real???
Caleb Enyawbruce
É um código de popup padrão que salva o valor digitado em uma variável e depois envia esse valor pra um servidor. Eu acho genérico demais pra ser possível algum tipo de “detecção” disso.
LuisPauloLohmann
Não é questão de passar despercebido. O artigo original é de um desenvolvedor mostrando que alguém poderia explorar essa falha e não de um app verdadeiro. Ele inclusive toca no assunto da revisão.
LuisPauloLohmann
O título mais correto pra matéria seria "Desenvolvedor alerta que popup do iOS pode ser copiado para roubar senha."
Corvo
Creio que o que ele quis dizer é como o app passou pela inspeção da loja e foi autorizado sem que percebecem, pois mais que o código que simplesmente exibe a popup existe o código da função que irá tratar essa popup, provavelmente enviando a senha para um servidor através de uma requisição Post, Ajax, etc.
Felipe
Pô, mas eu achava que o teclado preto não podia ser ativado sem ser pelo próprio iOS...
Caio Soares
Dá pra usar autenticação de dois fatores com um número de celular confiável (mais de um número, inclusive). No iOS 11 2FA é obrigatório para iniciar sessão no iCloud.
Thiago Lopes
O foda é que a autenticação de dois Fatores exige um outro dispositivo Apple para funcionar, e muita gente só tem iPhone, aí se fode, pq tem que manter isso desligado, ficando vulnerável a esse tipo de coisa.
Caleb Enyawbruce
Não foi o código do “popup oficial da Apple” que “vazou”. A Apple que fez o seu “popup oficial” usando o mesmo código de popup padrão do sistema. Por isso qualquer um pode fazer igual.
Exibir mais comentários