por

Grave vulnerabilidad de iOS revela el password del Apple ID

El empresario de herramientas de desarrollo Open Source Felix Krause, ha hecho público en su blog personal bajo el título “Privacidad de iOS: robar.password – Obtenga fácilmente la contraseña de una cuenta Apple ID, simplemente preguntando“, una grave vulnerabilidad que permite acceder al password de una cuenta Apple ID usando técnicas de phishing.

El mecanismo descrito para obtener el password sería el siguiente:

iOS le pide al usuario su contraseña de iTunes por muchas razones, las más comunes son las actualizaciones del sistema operativo iOS recientemente instaladas o las aplicaciones iOS que están bloqueadas durante la instalación.

Como resultado, los usuarios están entrenados para ingresar su contraseña de ID de Apple siempre que iOS se los solicite que lo haga. Sin embargo, esas ventanas emergentes no sólo se muestran en la pantalla de bloqueo y en la pantalla de inicio, sino también en aplicaciones aleatorias, por ejemplo cuando se quiere acceder a iCloud, GameCenter o a compras dentro de un App.

Esto podría ser abusado fácilmente por cualquier aplicación, sólo por mostrar un UIAlertController, que se ve exactamente como el diálogo del sistema.

Incluso los usuarios que saben mucho sobre tecnología tienen dificultades para detectar que esas alertas son ataques de phishing.

Aquí una gráfica que comprara ambos tipos de pop-up, el oficial y uno creado programáticamente para robar el password:

Cómo es posible protegerte contra una aplicación diseñada para robar tu password, pues Felix Krause nos recomienda lo siguiente:

  • Pulse el botón de inicio, y ver si la aplicación se cierra:
    • Si la aplicación se cierra y con ella el diálogo, entonces esto fue un ataque de phishing
    • Si el diálogo y la aplicación siguen visibles, entonces es un diálogo del sistema. La razón de ello es que los diálogos del sistema se ejecutan en un proceso diferente y no como parte de ninguna aplicación de iOS.
  • No introduzca sus credenciales en una ventana emergente, en su lugar,  desechela y abra la aplicación Settings manualmente. Este es el mismo concepto, como el de que usted nunca debe hacer clic en los enlaces en los correos electrónicos, pero en su lugar abrir el sitio web manualmente
  • Si pulsa el botón Cancelar en un cuadro de diálogo, la aplicación seguirá accediendo al contenido del campo de contraseña. Incluso después de introducir los primeros caracteres, la aplicación probablemente ya tiene su contraseña.

El investigadir Krause ha reportado el bug a Apple y esperemos que pronto esto quede solucionado para el bien de los usuarios de esta plataforma. Pero es increíble cómo en un periodo tan corto de tiempo el hasta no hace mucho considerado “sistema más seguro”, está haciendo agua por todos lados.