Un desarrollador de aplicaciones móviles ha señalado un agujero de seguridad en las ventanas emergentes de iOS que solicitan el ID de Apple del usuario. Felix Krause publicó en su blog el pasado 10 de octubre un artículo en el que comparó un popup auténtico con uno fraudulento para mostrar la similitud entre ambos.
Las ventanas emergentes de Apple comúnmente solicitan la contraseña del usuario para actualizar o instalar aplicaciones o el sistema operativo iOS, o bien, cuando se realiza una compra en la App Store, por lo que prácticamente hemos automatizado el ingreso de nuestro password. Estas popup no solo aparecen en la pantalla de bloqueo, sino también cuando están abiertas aplicaciones que quieren acceder a tu iCloud, GameCenter o In-App-Purchases.
Lo que Krause ha confirmado es que con mínimos conocimientos y las guías de diseño de Apple se puede crear uno de estos popup. Se necesitan, señala, “menos de 30 líneas de código para que cualquier desarrollador de iOS pueda crearlo“, por lo que los ataques de suplantación de identidad, conocidos como phishing, son muy fáciles de lograr. De esta manera, cualquier app que consiga imitar a la ventana emergente auténtica puede engañar al usuario solicitando su Apple ID.
"Esto podría ser abusado fácilmente por cualquier aplicación, sólo por mostrar un UIAlertController, que se ve exactamente como el diálogo del sistema. Incluso los usuarios que saben mucho sobre tecnología tienen dificultades para detectar que esas alertas son ataques de phishing", alertó Krause, quien decidió no incluir en su texto el código real de la ventana emergente, pues señala que es "sorprendentemente fácil de replicar".
La siguiente imagen muestra un popup auténtico y uno fraudulento:
Para verificar si una ventana emergente es auténtica o fraudulenta antes de ingresar tu contraseña, pulsa el botón de inicio. Si la app se cierra junto con el popup, es un ataque de phishing. Por el contrario, si la ventana emergente y la aplicación siguen visibles, es auténtico, pues no importa cuantas veces pinches el botón de inicio, no irá a ningún lado por tratarse de un verdadero mensaje del sistema. Esto se debe a que los de Apple se ejecutan en un proceso diferente y no como parte de alguna app iOS.
"iOS debería distinguir claramente entre elementos que son del sistema de la interfaz y los que son de aplicaciones, para que idealmente sea... obvio para el usuario promedio de smartphones que algo está raro. Esto es aún un problema difícil de resolver, y muchos navegadores de red todavía lo están abordando; todavía tienes sitios web que hacen que las ventanas emergentes se parezcan a los popups de macOS/iOS para que muchos usuarios piensen (que son) mensaje(s) del sistema", concluye el desarrollador.