Publicidade

Bug no iOS permite roubo de senhas do iCloud

Por| 11 de Junho de 2015 às 11h52

Link copiado!

Divulgação
Divulgação

Uma falha de segurança grave foi descoberta por um pesquisador de segurança e coloca, mais uma vez, o iCloud como alvo principal de ataques voltados para roubo de dados. Por meio de um bug no aplicativo oficial de e-mail, disponível nas versões mais recentes do iOS, hackers podem provocar a exibição de uma janela falsa para inserção das informações do usuário, como login e senha, fazendo com que elas sejam enviadas de bandeja para os cibercriminosos.

O problema acontece mesmo na versão 8.3 do sistema operacional mobile da Apple, lançado em abril. O bug, mais especificamente, acontece devido a problemas na forma como app lida com códigos HTML, uma brecha que acaba permitindo a exibição da caixa interativa a partir de um servidor remoto, que surge com aparência semelhante às oficiais da própria plataforma.

Programações avançadas na caixa de diálogo também podem ser feitas para que ela realmente pareça legítima. O hacker poderia, por exemplo, programá-la para ser exibida uma única vez, como se o usuário tivesse inserido as informações com sucesso. Além disso, usos menos maliciosos também envolvem uma notificação não-autorizada de leitura, o que permitiria ao remetente saber quem, quando e por qual IP suas mensagens foram visualizadas.

Não se sabe ao certo se o método já foi utilizado por criminosos para obtenção de senhas do iCloud, mas todo o processo de utilização do bug foi exibido em uma prova de conceito publicada no GitHub, que serve como repositório para desenvolvedores de aplicativos, e está lá para quem quiser baixar e, claro, explorar a falha daqui em diante. O responsável pela descoberta disse ter informado a Apple sobre o problema em janeiro, mas a empresa, até agora, não se mexeu para providenciar uma solução.

Continua após a publicidade

Justamente por isso veio a decisão de liberar a brecha para o público. Isso, claro, permite que hackers tomem conhecimento da falha e a explorem enquanto ela está ativa, mas, ao mesmo tempo, serve para informar os usuários sobre o problema. E, mais do que isso, a publicação sobre o problema pela imprensa também acaba pressionando a Apple a resolver o bug de uma vez.

Por enquanto, porém, não temos nenhuma fala oficial da empresa. É provável que o problema seja resolvido na próxima atualização do iOS, que, para bem dos usuários, não pode demorar muito para chegar.

Como se proteger

O ideal, aqui, é nunca inserir suas credenciais do iCloud em caixas de diálogo que sejam exibidas no aplicativo de e-mail. Isso, porém, pode acabar minando o funcionamento da solução, uma vez que as credenciais podem ser necessárias para acesso e o sistema da Maçã pode, sim, pedir as informações do usuário aleatoriamente, em caso de perda de conexão com o servidor, por exemplo.

Continua após a publicidade

Uma forma de saber se o pedido exibido é oficial ou não, porém, é até simples. Caixas de diálogo oficiais da Apple não permitem que o usuário faça nenhuma outra ação no aparelho durante sua exibição. Sendo assim, basta pressionar o botão Home caso esteja suspeitando de algo. Se o seu dispositivo voltar à tela inicial, isso significa que as informações estão sendo pedidas de forma não oficial, então, você não deve digitá-las.

Fonte: Ars Technica