A lo largo de este año, hemos podido ver cómo algunos problemas de seguridad habían afectado a los servicios de Apple. En esta ocasión, una nueva alerta de phishing que afecta a las contraseñas de Apple ID.
No me queda claro si los constantes fallos en los servicios iCloud de las últimas semanas, tenía algo que ver con los problemas que comenta Felix Krause, y Apple estuviera solucionando dichos problemas.
El posible origen de la alerta de phishing
Habitualmente, cuando queremos comprar una app, un disco o queremos hacer alguna modificación de iOS, nos suele preguntar nuestra contraseña de nuestro Apple ID. Por ejemplo, como antes os hablábamos sobre cómo anular las suscripciones en la App Store desde iPhone o iPad.
Una nueva entrada en el blog del desarrollador Felix Krause, sin embargo, explica cómo ese pop-up podría usarse para engañar a alguien para que entregue su Apple ID y contraseña …
El desarrollador explica que es increíblemente fácil para un fabricante de aplicaciones iOS recrear el indicador de contraseña de ID de Apple. A partir de ahí, la aplicación podría enviar esa ventana emergente y registrar posteriormente el ID de Apple y la contraseña. Se tarda menos de 30 líneas de código y, aparentemente, podría caer en cualquier aplicación legítima de iOS y pasar por los equipos de revisión de la App Store.
Mostrar un diálogo que se parece a un popup del sistema es muy fácil, no hay código mágico o secreto involucrado, es literalmente los ejemplos proporcionados en los documentos de Apple, con un texto personalizado.
«Decidí no abrir el código emergente real, sin embargo, tenga en cuenta que es menos de 30 líneas de código y cada ingeniero iOS será capaz de construir rápidamente su propio código de phishing».
Krause señala cómo esto ha sido un gran problema en los navegadores de escritorio durante años , con sitios web ilegítimos que envían popups falsos que son casi idénticos a las notificaciones normales del sistema. Es en gran parte igual para iOS también. Dice que ya ha presentado este problema a Apple y explica que podría ser arreglado por Apple no permitir que las contraseñas se introduzca en ventanas emergentes, sino sólo en la aplicación de configuración / App Store.
Cómo debemos protegernos de esta alerta de phishing
Krause describe los siguientes pasos:
- Pulse el botón de inicio, y ver si la aplicación se cierra:
- Si cierra la aplicación, y con ella el diálogo, entonces esto fue un ataque de phishing
- Si el diálogo y la aplicación siguen visibles, entonces es un diálogo del sistema.La razón de ello es que los diálogos del sistema se ejecutan en un proceso diferente y no como parte de ninguna aplicación de iOS.
- No introduzca sus credenciales en una ventana emergente, en su lugar, lo deseche y abra la aplicación Configuración manualmente. Este es el mismo concepto, como usted nunca debe hacer clic en los enlaces en los correos electrónicos, pero en lugar de abrir el sitio web manualmente
- Si pulsa el botón Cancelar en un cuadro de diálogo, la aplicación seguirá accediendo al contenido del campo de contraseña. Incluso después de introducir los primeros caracteres, la aplicación probablemente ya tiene su contraseña.