Se você usa um iPhone ou iPad, provavelmente já viu uma tela padrão pedindo a senha do seu ID Apple para confirmar alguma coisa, seja dentro da App Store, iTunes Store ou de algum aplicativo. Isso é normal, já que o sistema eventualmente exige que o usuário insira a sua senha novamente por questões de verificação. Porém, o desenvolvedor Felix Krause revelou recentemente como é fácil enganar os usuários do iOS recriando o “pop-up” de senha da Apple dentro de um aplicativo.
Veja a imagem acima. Na esquerda, está a tela oficial do iOS exigindo a senha do ID Apple registrado no aparelho e, na direita, a mesma tela recriada por Krause dentro de um aplicativo qualquer. De acordo com o desenvolvedor, o método utilizado pela Apple é tão simples que pode ser recriado em apenas alguns minutos utilizando menos de 30 linhas de código.
Isso facilita para que pessoal mal-intencionadas criem aplicativos apenas para roubar as senhas do ID Apple dos usuários. Por ser tão fácil recriar a solicitação de senha da Apple, os mais leigos — e até mesmo os que possuem mais experiência — podem não perceber que se trata de um menu falso e acabam digitando a senha da conta, que é enviada para os hackers logo em seguida.
A prática pode ser considerada “phishing“, do inglês “fishing” (pesca), que é quando criminosos falsificam algo como o site de um banco ou emails de empresas para enganar os usuários, obtendo assim informações pessoais como endereço, documentos e senhas. Felix Krause afirma que já entrou em contato com a Apple para propor uma maneira de evitar esse tipo de ataque.
Ele acredita que o simples fato de obrigar o usuário a verificar a senha do ID Apple dentro do aplicativo Ajustes do iOS ao invés de qualquer outra parte do sistema já deve dificultar para quem pretende criar esses “pop-ups” falsos. É claro que, se a Apple descobrir isso enquanto revisa o aplicativo, ele certamente será rejeitado na App Store. Porém, há várias maneiras de se contornar isso, como em aplicativos piratas ou até mesmo alterando parte dos códigos remotamente após o app já ter sido aprovado.
Enquanto a Apple trabalha em uma solução, Krause reforça algumas coisas que os usuários podem fazer para proteger o ID Apple, como por exemplo:
- Sempre que você estiver em um aplicativo e ele exigir seu ID Apple, pressione o botão Início. Os “pop-ups” oficiais do iOS não desaparecem mesmo ao pressionar o botão Início.
- Não digite sua senha em qualquer “pop-up“. Ao invés disso, feche o aplicativo e vá até os Ajustes verificar o seu ID Apple.
- Ative a verificação de dois fatores em seu ID Apple. Assim, mesmo com a senha em mãos, é preciso liberar o acesso em um dispositivo previamente autorizado.
Apesar deste provavelmente ser o primeiro caso de “phishing” utilizando os próprios aplicativos do iOS, vários usuários de produtos da Apple já foram alvos de ataques por outros meios, como por exemplo emails falsos em nome da empresa exigindo a confirmação do ID Apple ou até mesmo mensagens de texto alegando que o iPhone foi bloqueado pelo recurso Buscar, exigindo a senha para desbloqueá-lo. Nestes casos, por via das dúvidas, acesse o site oficial da Apple ou do iCloud direto pelo navegador, sem clicar nos links do email ou SMS.
Mais detalhes sobre a descoberta de Krause podem ser encontrados em seu blog pessoal (conteúdo em inglês).