Início » Mobile Segurança » Pop-up malicioso usa interface do iOS para roubar senha do Apple ID

Pop-up malicioso usa interface do iOS para roubar senha do Apple ID

Por
11/10/2017 às 10h47
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Quem usa dispositivos iOS provavelmente já se deparou com um pop-up que surge do nada e pede sua senha do Apple ID. Ele pode aparecer na App Store e também fora dela, se algum processo for executado em segundo plano.

Como aponta o desenvolvedor Felix Krause, isso expõe os usuários a ataques de phishing, com pop-ups que parecem legítimos mas roubam sua senha do Apple ID.

Pop-up legítimo à esquerda, e tentativa de phishing à direita.

Krause explica que é incrivelmente fácil recriar o prompt de senha: são menos de 30 linhas de código que, aparentemente, podem ser colocadas em qualquer aplicativo legítimo para iOS e passar pela análise da App Store.

“Mostrar uma caixa de diálogo que se parece com um pop-up do sistema é muito fácil, não há código mágico ou secreto envolvido. Isso literalmente está nos exemplos fornecidos pelos documentos da Apple, mas com um texto personalizado”, escreve Krause em seu blog.

O desenvolvedor abriu um chamado com a Apple para resolver esse problema. A sugestão dele: exigir que o usuário vá até os Ajustes do iOS para colocar a senha, em vez de inseri-la em pop-ups.

Enquanto isso não é resolvido, ele sugere um paliativo simples: quando aparecer o pop-up, pressione o botão Home. Se ele sumir, era uma tentativa de phishing; senão, é uma caixa de diálogo do sistema — ela roda em um processo separado no iOS, e não como parte de um app.

Outra alternativa é tocar em “Cancelar” no pop-up e ir manualmente até os Ajustes para inserir a senha. É a mesma ideia por trás de não clicar em links de e-mails, e sim digitar o endereço no navegador.

Com informações: 9to5Mac.

Mais sobre: , , ,
  • Caraca eu sempre pensei isso, e achei que era facilmente perceptível pra todos. Precisou um “pesquisador” avisar a Apple?? 🙄

  • Adriano

    Realmente é muito simples criar uma janela pop up no entanto, como o código de execução da janela passou despercebido? A janela tem uma função, possui um código e esse código aparentemente não foi revisado pela Apple, caso contrário, teriam descoberto a função da janela pop up.

    • Não foi o código do “popup oficial da Apple” que “vazou”. A Apple que fez o seu “popup oficial” usando o mesmo código de popup padrão do sistema. Por isso qualquer um pode fazer igual.

      • Corvo

        Creio que o que ele quis dizer é como o app passou pela inspeção da loja e foi autorizado sem que percebecem, pois mais que o código que simplesmente exibe a popup existe o código da função que irá tratar essa popup, provavelmente enviando a senha para um servidor através de uma requisição Post, Ajax, etc.

        • É um código de popup padrão que salva o valor digitado em uma variável e depois envia esse valor pra um servidor. Eu acho genérico demais pra ser possível algum tipo de “detecção” disso.

      • Adriano

        Não foi isso que eu disse mas tudo bem, o “Corvo” esclareceu no comentário abaixo.

    • LuisPauloLohmann

      Não é questão de passar despercebido. O artigo original é de um desenvolvedor mostrando que alguém poderia explorar essa falha e não de um app verdadeiro. Ele inclusive toca no assunto da revisão.

  • Thiago Lopes

    O foda é que a autenticação de dois Fatores exige um outro dispositivo Apple para funcionar, e muita gente só tem iPhone, aí se fode, pq tem que manter isso desligado, ficando vulnerável a esse tipo de coisa.

    • Caio Soares

      Dá pra usar autenticação de dois fatores com um número de celular confiável (mais de um número, inclusive). No iOS 11 2FA é obrigatório para iniciar sessão no iCloud.

  • Felipe

    Pô, mas eu achava que o teclado preto não podia ser ativado sem ser pelo próprio iOS…

  • LuisPauloLohmann

    O título mais correto pra matéria seria “Desenvolvedor alerta que popup do iOS pode ser copiado para roubar senha.”

  • Marcos

    Por que não autenticar com a digital?