Pop-up malicioso no iOS rouba senha do Apple ID se passando por App Store
O iOS pede de tempos em tempos que você confirme seus dados de login do Apple ID. Geralmente, essa janela surge dentro da App Store ou da iTunes Store, mas também aparece aleatoriamente, quando algum serviço rodando no plano de fundo precisa confirmar os dados. Acontece que essa janelinha pode servir como trampolim para um ataque de phishing. Um desenvolvedor malicioso consegue imitar o pop-up com facilidade e roubar os dados.
• A Central de Controle do iOS 11 engana o usuário e não desabilita Wi-Fi e Bluetooth
• Todos os melhores truques de Realidade Aumentada que o seu iPhone pode fazer
A falha de segurança foi mostrada pelo desenvolvedor Felix Krause, em uma publicação em seu blog. Ele explica que é bem fácil recriar o pop-up e que com menos de 30 linhas de código é possível imitar o formulário original do iOS:
Mostrar a caixa de diálogo como se fosse um pop-up do sistema é superfácil, não tem nenhuma mágica ou código secreto envolvido, são literalmente os exemplos oferecidos dos documentos da Apple, com um texto personalizado.
Eu decidi não abrir o código fonte do pop-up, no entanto, noto que são menos que 30 linhas de códigos, e todos os engenheiros do iOS conseguirão rapidamente fazer seu próprio código para o phishing.
Janela pedindo a senha do Apple ID. Na esquerda, o pop-up legítimo. Na direita, uma tentativa de phishing.
Esse código malicioso pode passar facilmente pelo sistema de aprovação de aplicativos da App Store. O desenvolver argumenta que, embora a Apple venha fazendo um bom trabalho na proteção dos usuários, é possível incluir esse pedaço de código por meio de um código remoto React Native, utilizando uma configuração remota para ativar a funcionalidade só depois da aprovação do app ou até mesmo por meio de uma ativação baseada por tempo, trazendo o código na primeira semana depois do código ter sido submetido à avaliação.
O pedido de senha do Apple ID pode aparecer mesmo sem o endereço de email no pop-up.
O desenvolvedor abriu um chamado com a Apple para resolver esse problema. Ele também sugeriu algumas medidas para que os usuários evitem cair no phishing: se a janelinha aparecer, pressione o botão Home. Se ela sumir, a técnica maliciosa estava em ação. Agora, se o pop-up permanecer, o pedido de login é autêntico. Outra opção é tocar em “Cancelar” no pop-up e ir manualmente até os Ajustes para inserir a senha.
Outra forma dos usuários se proteger é adicionar a verificação em dois passos da Apple. Mesmo que alguém roube a sua senha, não terá o código de ativação para o login.