Especialista fala sobre possíveis falhas graves de segurança no iPhone
 |
| Apple não quis se pronunciar sobre o assunto. |
Segundo o desenvolvedor Felix Krause, o hábito do iPhone de requerer
repetidamente a senha de identificação do usuário na sua conta da Apple é uma
falha de segurança que permite a criminosos criar táticas de
"phishing" para enganar usuários. Ele fez a acusação em seu blog, na
terça-feira (10), e explicou o assunto em sua conta do Twitter.
"Phishing" é um tipo de crime virtual que cria
e-mails, sites ou outras interfaces convincentes para que os usuários cliquem e
interajam com elas, sem saber que estão sendo enganados. Podem roubar dados
pessoais das vítimas, seja se infiltrando no aparelho (computador, celular ou
tablet) ou convencendo a pessoa a entregar seus dados de forma espontânea.
Krause diz que as frequentes mensagens "pop-up" (que
surgem na tela como pequenas janelas) que a Apple manda para donos de iPhones e
iPads para confirmar suas senhas pode ser reproduzida. "Os usuários são
treinados para inserir sua senha de identificação da Apple sempre que o sistema
iOS o solicitar. No entanto, esses pop-ups não são exibidos apenas na tela de
bloqueio e na tela inicial, mas também em aplicativos aleatórios, por exemplo,
quando eles querem acessar o iCloud, GameCenter ou compras no aplicativo",
disse Krause.
"Isso (o método da Apple) pode ser facilmente excedido por
qualquer aplicativo, apenas mostrando um alerta que se parece exatamente com o
pop-up do sistema. Mesmo os usuários que sabem muito de tecnologia passam
dificuldade em detectar que esses alertas são ataques de phishing", ainda continuou.
"O mais chocante sobre isso é que levei apenas cerca de 15 minutos para criar uma réplica perfeita do (aviso pop-up) original”
Contudo, ainda não há evidências de que a suposta descoberta de
Krause tenha sido usada na prática para "phishing", e mesmo que
tentativas tenham sido feitas, ainda seria preciso para o cibercrimoso enganar
os revisores da Apple para entrar na App Store e convencer os usuários a
instalar o app.
Krause diz que há apenas uma maneira de um usuário ter certeza
de que o pedido de senha vem da Apple e não de um app desonesto: apertar o
botão Home antes de inserir a senha. Isso ocorre porque apenas a própria Apple
pode resistir ao Home
nessa situação, mantendo ao pedido aberto após pressionar o botão. Qualquer
outro app seria forçado a fechar, e com ele, o pop-up falso. Para ele, o
problema seria fácil de resolver: "Em vez de pedir a senha diretamente, o
iOS deveria dizer ao usuário para abrir o app de Ajustes para confirmar a senha",
sugeriu.
