INSEGURIDAD EN LA RED

Los pop-ups que piden contraseñas en iOS son la nueva amenaza

Un desarrollador de aplicaciones demostró la facilidad con la que se puede generar una ventana emergente falsa que pida la contraseña a usuarios iOS.
jueves, 12 de octubre de 2017 · 07:13

Un desarrollador de apps móviles encontró un agujero de seguridad en las ventanas emergentes de iOS que solicitan el ID de Apple del usuario.

Felix Krause publicó en su blog recientemente un artículo en el que comparó un popup auténtico con uno fraudulento para mostrar la similitud entre ambos.

Las ventanas emergentes de Apple usualmente piden la contraseña del usuario para actualizar o instalar aplicaciones o el sistema operativo iOS, o bien, cuando se realiza una compra en la tienda, por lo que prácticamente se ha automatizado el ingreso de nuestra contraseña. Estas popup no solo aparecen en la pantalla de bloqueo, sino también cuando están abiertas aplicaciones que quieren acceder a tu iCloud, GameCenter o In-App-Purchases.

Lo que Krause confirmó es que con mínimos conocimientos y las guías de diseño de Apple se puede crear uno de estos mensajes falsos.

Se necesitan, explica, “menos de 30 líneas de código para que cualquier desarrollador de iOS pueda crearlo", por lo que los ataques de suplantación de identidad, conocidos como phishing, son muy fáciles de lograr. Así, cualquier app que consiga imitar a la ventana emergente auténtica puede engañar al usuario solicitando su Apple ID.

"Esto podría ser abusado fácilmente por cualquier aplicación, sólo por mostrar un UIAlertController, que se ve exactamente como el diálogo del sistema. Incluso los usuarios que saben mucho sobre tecnología tienen dificultades para detectar que esas alertas son ataques de phishing", alertó Krause, quien decidió no incluir en su texto el código real de la ventana emergente, pues señala que es "sorprendentemente fácil de replicar", finaliza.

Comentarios