iPhone está sujeito a falha grave de segurança, diz especialista
Do UOL, em São Paulo
12/10/2017 11h01
De acordo com o desenvolvedor Felix Krause, o hábito do iPhone de solicitar repetidamente a senha de identificação do usuário na sua conta da Apple é uma falha de segurança que permite a criminosos criar táticas de "phishing" para enganar usuários. Ele fez a acusação em seu blog, na terça-feira (10), e comentou o assunto em sua conta do Twitter.
"Phishing" é um tipo de crime virtual que cria e-mails, sites ou outras interfaces convincentes para que os usuários cliquem e interajam com elas, sem saber que estão sendo enganados. Podem roubar dados pessoais das vítimas, seja se infiltrando no aparelho (computador, celular ou tablet) ou convencendo a pessoa a entregar seus dados de forma espontânea.
VEJA TAMBÉM:
Veja também
- Durão ou frágil? Veja como o iPhone 8 se sai num teste de resistência
- Celular parou bala: mulher diz ter sido salva por iPhone em Las Vegas
The most shocking thing about this, is that it only took me about 15 minutes to build a perfect replica of the original pic.twitter.com/
— Felix Krause (@KrauseFx) 10 de outubro de 2017
Krause diz que as frequentes mensagens "pop-up" (que surgem na tela como pequenas janelas) que a Apple manda para donos de iPhones e iPads para confirmar suas senhas podem ser reproduzidas.
"Os usuários são treinados para inserir sua senha de identificação da Apple sempre que o sistema iOS o solicitar. No entanto, esses pop-ups não são exibidos apenas na tela de bloqueio e na tela inicial, mas também em aplicativos aleatórios, por exemplo, quando eles querem acessar o iCloud, GameCenter ou compras no aplicativo", disse Krause.
"Isso [o método da Apple] pode ser facilmente executado por qualquer aplicativo, apenas mostrando um alerta que se parece exatamente com o pop-up do sistema. Mesmo os usuários que não sabem muito de tecnologia passam dificuldade em detectar que esses alertas são ataques de phishing", continuou.
"O mais chocante sobre isso é que levei apenas cerca de 15 minutos para criar uma réplica perfeita do [aviso pop-up] original"
Contudo, ainda não há evidências de que a suposta descoberta de Krause tenha sido usada na prática para "phishing", e mesmo que tentativas tenham sido feitas, ainda seria preciso para o cibercrimoso enganar os revisores da Apple para entrar na App Store e convencer os usuários a instalar o app.
Krause diz que há apenas uma maneira de um usuário ter certeza de que o pedido de senha vem da Apple e não de um app desonesto: apertar o botão Home antes de inserir a senha. Isso ocorre porque apenas a própria Apple pode resistir ao Home nessa situação, mantendo ao pedido aberto após pressionar o botão. Qualquer outro app seria forçado a fechar e, com ele, o pop-up falso.
Para ele, o problema seria fácil de resolver: "Em vez de pedir a senha diretamente, o iOS deveria dizer ao usuário para abrir o app de Ajustes {para confirmar a senha]", sugeriu.
Segundo o jornal britânico "Guardian", a Apple não quis se pronunciar sobre o assunto.