Se você possui um iPhone, estará acostumado com o que parece ser uma solicitação constante do seu ID Apple ao fazer compras no iTunes, na App Store ou em aplicativos. Um pequeno pop-up aparece, você revira os olhos e, obedientemente, digita sua senha.
Mas e se esse pop-up não vier da Apple e, em vez disso, tiver sido projetado para parecer um pedido oficial em uma tentativa de hackers de roubar suas credenciais? Esse é o caso apresentado pelo desenvolvedor de aplicativos Felix Krause, que escreveu um quebra de prova de conceito de pop-ups semelhantes a maliciosos.
Como Krause observa, menos de 30 linhas de código podem ser usadas para fazer um diálogo de phishing muito convincente. Em fotos lado a lado, ele compara a solicitação de senha de identificação oficial da Apple com seus próprios esforços. A ideia seria que o código fosse contrabandeado com um aplicativo, de modo que na verdade seja a notificação do aplicativo - não a IU da Apple - que o usuário está vendo. Como mostram suas fotos, ele pode ser projetado por um desenvolvedor para parecer idêntico a um pop-up Sign in iTunes Store.
O principal problema, do lado da Apple, é que o iOS torna difícil dizer a diferença entre as fontes de notificação. O iOS deve distinguir claramente entre a IU do sistema e os elementos da IU do aplicativo, de modo que, idealmente, seja [...] óbvio para o usuário médio de smartphone que algo parece estranho, diz Krause.
Veja relacionados O negócio de malware Prepare-se para um grande ataque cibernético, avisa National Cyber Security Center Equifax é forçado a remover uma página da web que serve downloads duvidosos e malware Este é um problema complicado de resolver, e os navegadores da web ainda estão lidando com ele; você ainda tem sites que fazem os pop-ups parecerem pop-ups do macOS / iOS, de modo que muitos usuários pensam [que são] mensagens do sistema.
Krause adiciona algumas soluções potenciais para o problema, como forçar o usuário a inserir sua senha no aplicativo de configurações em vez de em um pop-up. O mais provável de acontecer é sua sugestão de que a Apple mude o design de seus prompts de sistema para incluir um ícone extra que indica que é um pedido oficial. Ele aponta para o ponto de exclamação usado em algumas notificações push, abaixo.
como hackear sua pontuação Snapchat
Por enquanto, o desenvolvedor observa algumas etapas que os usuários podem seguir para evitar phishing em dispositivos móveis. O mais fácil é pressionar o botão Home. Se isso fechar o aplicativo e a caixa de diálogo, então foi um ataque de phishing. Se a caixa de diálogo e o aplicativo ainda estiverem visíveis, é uma caixa de diálogo do sistema.
Também é importante notar que esse tipo de ataque depende do aplicativo malicioso que consegue passaro processo de revisão da App Store e o código sendo então ativado pelo desenvolvedor. A Apple geralmente está em sintonia com esse tipo de coisa e tomaria medidas se tal violação de suas diretrizes fosse detectada. Krause, no entanto, nota queorganizações mal-intencionadas sempre encontrarão uma maneira de contornar as limitações de uma plataforma.