Nueva alerta de phishing que afecta a las contraseñas de Apple ID

A lo largo de este año, hemos podido ver cómo algunos problemas de seguridad habían afectado a los servicios de Apple. En esta ocasión, una nueva alerta de phishing que afecta a las contraseñas de Apple ID.

No me queda claro si los constantes fallos en los servicios iCloud de las últimas semanas, tenía algo que ver con los problemas que comenta Felix Krause, y Apple estuviera solucionando dichos problemas.

El posible origen de la alerta de phishing

Habitualmente, cuando queremos comprar una app, un disco o queremos hacer alguna modificación de iOS, nos suele preguntar nuestra contraseña de nuestro Apple ID. Por ejemplo, como antes os hablábamos sobre cómo anular las suscripciones en la App Store desde iPhone o iPad.

Una nueva entrada en el blog del desarrollador Felix Krause, sin embargo, explica cómo ese pop-up podría usarse para engañar a alguien para que entregue su Apple ID y contraseña …

El desarrollador explica que es increíblemente fácil para un fabricante de aplicaciones iOS recrear el indicador de contraseña de ID de Apple. A partir de ahí, la aplicación podría enviar esa ventana emergente y registrar posteriormente el ID de Apple y la contraseña. Se tarda menos de 30 líneas de código y, aparentemente, podría caer en cualquier aplicación legítima de iOS y pasar por los equipos de revisión de la App Store.

Mostrar un diálogo que se parece a un popup del sistema es muy fácil, no hay código mágico o secreto involucrado, es literalmente los ejemplos proporcionados en los documentos de Apple, con un texto personalizado.

«Decidí no abrir el código emergente real, sin embargo, tenga en cuenta que es menos de 30 líneas de código y cada ingeniero iOS será capaz de construir rápidamente su propio código de phishing».

Krause señala cómo esto ha sido un gran problema en los navegadores de escritorio durante años , con sitios web ilegítimos que envían popups falsos que son casi idénticos a las notificaciones normales del sistema. Es en gran parte igual para iOS también. Dice que ya ha presentado este problema a Apple y explica que podría ser arreglado por Apple no permitir que las contraseñas se introduzca en ventanas emergentes, sino sólo en la aplicación de configuración / App Store.

 

alerta de phishing
Servicios de Apple ID

Cómo debemos protegernos de esta alerta de phishing

Krause describe los siguientes pasos:

Salir de la versión móvil