desenvolvedor iOS, Felix Krause, publicou um post blog bastante preocupante na terça-feira, detalhando como seria fácil obter credenciais de Apple de usuários do iPhone. E eles forneceria-se sem sequer saber.
Se você é um usuário do iPhone, as possibilidades são, regularmente se o pop-up pedindo para fornecer sua senha de Apple ID, e, de acordo com Krause, é por isso que este ataque de phishing funcionaria.
“iOS solicita ao usuário para sua senha do iTunes por muitas razões, as mais comuns são atualizações do sistema operacional iOS recentemente instalado, ou apps iOS que estão presos durante a instalação. Como resultado, os usuários são treinados para basta digitar sua senha Apple ID sempre que iOS pede-lhe para fazê-lo. No entanto, esses pop-ups não são apenas mostrados na tela do fechamento e a tela inicial, mas também dentro de apps aleatórios, por exemplo, quando eles querem acessar o iCloud, GameCenter ou em-App-compras,”Krause explica em seu post.
Como funcionaria
Se um aplicativo foi projetado para phish suas credenciais de Apple ID, tudo o que precisa fazer é usar o “UIAlertController” para mostrar uma caixa de diálogo falso. Pode ser fazer olhar idêntico ao legítimo, e se você está acostumado para fazê-los o tempo todo, você não pensar nisso e basta digitar sua senha.
O pop-up falso parece completamente idêntico a um real. Segurança-mesmo os mais cautelosos usuários teria um tempo difícil identificar o falso que à primeira vista. No entanto, existem maneiras dizer se você tem um real ou uma alerta falso.
O que fazer para se proteger contra esse tipo de ataque de phishing
A maneira mais fácil de dizer se você está sendo phished é apertar o botão ‘home’. Krause explica que se isso fecha o aplicativo e o pop-up, que foi um ataque de phishing.
“Se a caixa de diálogo e o app são ainda visíveis, então é uma caixa de diálogo do sistema. A razão para isso é que as caixas de diálogo do sistema executado em um processo diferente e não como parte de qualquer app iOS.”
Ele também sugere que os usuários não devem colocar em suas senhas em pop-up. Em vez disso, eles devem abrir o app configurações manualmente e fornecer suas credenciais lá.