Newsletter Wineuropa

Tecnologia & Internet Uno sviluppatore ha mostrato un attacco di phishing possibile su iOS che può depredare la password iCloud degli utenti. Meglio stare attenti

Occhio al pop-up su iOS: sembra di Apple, ma ruba le password

Felix Krause è uno sviluppatore balzato agli onori della cronaca per aver mostrato un attacco phishing su iOS utilizzando icone e finestre in perfetto stile Apple all'interno delle app. Come spiega lo stesso professionista, gli utenti iPhone e iPad sono ormai abituati alle richieste da parte di Apple per l'inserimento delle credenziali d'accesso per effettuare acquisti ed accedere al servizio in cloud proprietario. E questo può avvenire anche al di fuori di App Store o di iTunes Store.

Il trucco dell'attacco di phishing dimostrato da Krause è utilizzare un "UIAlertController" che emula lo stile dell'interfaccia grafica di Apple, e nello specifico la finestra che richiede le credenziali d'accesso dell'utente per effettuare acquisti in-app o altre operazioni. Nascondendo nella finestra un tool di phishing capace di raccogliere i dati immessi, un utente malintenzionato può ottenerli senza capacità di programmazione avanzate o senza sfruttare alcuna vulnerabilità di sistema.

Queste le parole dello sviluppatore:

"Mostrando una finestra di avviso con le sembianze di un pop-up di sistema è veramente facile, non c'è nessuna magia o codice segreto alla sua base. Si può fare sfruttando gli esempi forniti nei documenti Apple, con un testo personalizzato.

Ho deciso di non rilasciare come open-source il codice del pop-up, tuttavia, c'è da dire che richiede meno di 30 linee di codice e ogni ingegnere iOS potrebbe essere in grado di sviluppare la propria versione del tool di phishing".

Il metodo di phishing descritto da Krause non è del tutto nuovo, e c'è anche da segnalare che Apple verifica l'affidabilità di ogni app prima di inserirla pubblicamente su App Store. È possibile che una richiesta così esplicita possa passare inosservata, ma è decisamente improbabile. Tuttavia vale la pena segnalare che è possibile inserire pop-up fraudolenti all'interno delle app di terze parti, soprattutto per informare gli utenti meno esperti del fenomeno.

L'unico metodo di protezione contro il phishing è, infatti, la consapevolezza. Quando si inseriscono dati sensibili in un pop-up è sempre necessario verificare la provenienza del pop-up e stabilirne a priori l'affidabilità. Su iOS, se non si è certi della provenienza della finestra di dialogo, basta premere il tasto Home per tornare nella schermata principale del dispositivo. Se il pop-up rimane è stato richiamato da iOS ed è affidabile, se scompare è legato all'app ed è fraudolento.

Krause ha comunque riportato l'anomala possibilità ad Apple raccomandando un fix che consenta agli utenti di inserire le proprie credenziali solo attraverso l'app Impostazioni, o con altri metodi, e non con un pop-up facilmente replicabile. Un metodo efficace e già esistente per proteggersi su iOS è abilitare l'autenticazione a due fattori, che impedisce ad un eventuale aggressore di effettuare il log-in su un account Apple senza un codice proveniente da un dispositivo verificato.
di Nino Grasso
tratto da www.hwupgrade.it

 

Inserita il : 12-10-2017 da wineuropa

Invia il tuo commento

Che Tempo Fara'