De olho na segurança

iPhone está sujeito a falha grave de segurança, diz especialista

Do UOL, em São Paulo

  • Guilherme Tagiaroli/UOL

De acordo com o desenvolvedor Felix Krause, o hábito do iPhone de solicitar repetidamente a senha de identificação do usuário na sua conta da Apple é uma falha de segurança que permite a criminosos criar táticas de "phishing" para enganar usuários. Ele fez a acusação em seu blog, na terça-feira (10), e comentou o assunto em sua conta do Twitter. 

"Phishing" é um tipo de crime virtual que cria e-mails, sites ou outras interfaces convincentes para que os usuários cliquem e interajam com elas, sem saber que estão sendo enganados. Podem roubar dados pessoais das vítimas, seja se infiltrando no aparelho (computador, celular ou tablet) ou convencendo a pessoa a entregar seus dados de forma espontânea.

VEJA TAMBÉM:

Krause diz que as frequentes mensagens "pop-up" (que surgem na tela como pequenas janelas) que a Apple manda para donos de iPhones e iPads para confirmar suas senhas podem ser reproduzidas.

"Os usuários são treinados para inserir sua senha de identificação da Apple sempre que o sistema iOS o solicitar. No entanto, esses pop-ups não são exibidos apenas na tela de bloqueio e na tela inicial, mas também em aplicativos aleatórios, por exemplo, quando eles querem acessar o iCloud, GameCenter ou compras no aplicativo", disse Krause.

"Isso [o método da Apple] pode ser facilmente executado por qualquer aplicativo, apenas mostrando um alerta que se parece exatamente com o pop-up do sistema. Mesmo os usuários que não sabem muito de tecnologia passam dificuldade em detectar que esses alertas são ataques de phishing", continuou.

"O mais chocante sobre isso é que levei apenas cerca de 15 minutos para criar uma réplica perfeita do [aviso pop-up] original"

Contudo, ainda não há evidências de que a suposta descoberta de Krause tenha sido usada na prática para "phishing", e mesmo que tentativas tenham sido feitas, ainda seria preciso para o cibercrimoso enganar os revisores da Apple para entrar na App Store e convencer os usuários a instalar o app.

Krause diz que há apenas uma maneira de um usuário ter certeza de que o pedido de senha vem da Apple e não de um app desonesto: apertar o botão Home antes de inserir a senha. Isso ocorre porque apenas a própria Apple pode resistir ao Home nessa situação, mantendo ao pedido aberto após pressionar o botão. Qualquer outro app seria forçado a fechar e, com ele, o pop-up falso.

Para ele, o problema seria fácil de resolver: "Em vez de pedir a senha diretamente, o iOS deveria dizer ao usuário para abrir o app de Ajustes {para confirmar a senha]", sugeriu.

Segundo o jornal britânico "Guardian", a Apple não quis se pronunciar sobre o assunto.

Corinthians? Flamengo? A Siri torce para um time de futebol e ele é hilário

Receba notícias pelo Facebook Messenger

Quer receber as principais notícias do dia de graça pelo Facebook Messenger? Clique aqui e siga as instruções.

Veja também

UOL Cursos Online

Todos os cursos