Demostración de un ataque de phishing en iOS solicitando un correo electrónico y una contraseña

Cada usuario iOS al menos una vez vio una ventana emergente pidiendo ingresar su nombre de usuario y / o contraseña, y generalmente provienen de Apple ella misma.

iOS - phishing-attack-POC

Un desarrollador pensó que un ataque de phishing se podría realizar fácilmente usando una ventana de este tipo. Felix Krause creó un concepto que demuestra que los desarrolladores pueden disfrazar fácilmente un ataque como una ventana emergente de Apple.

Como dice Krause, los usuarios están acostumbrados a ver tales ventanas incluso fuera de iTunes y las aplicaciones App Store. Usó UIAlertController y recreó el diseño de una contraseña estándar o una solicitud de nombre de usuario, que luego se puede usar para el phishing.

'iOS solicita a los usuarios una contraseña de iTunes por muchas razones, las más populares son el software actualizado recientemente y las aplicaciones bloqueadas durante la instalación.

Como resultado, los usuarios ingresan automáticamente su Apple ID y contraseña cada vez. Pero estas ventanas aparecen no solo en la pantalla de bloqueo y la pantalla de inicio, sino también en algunas aplicaciones que necesitan acceso a iCloud, GameCenter o compras.

Cualquier aplicación puede aprovechar esto fácilmente, porque UIAlertController puede recrear con precisión un cuadro de diálogo estándar.

En la mayoría de los casos, el desarrollador necesitará la dirección de correo electrónico del usuario para obtener su contraseña, pero a veces ni siquiera la necesita.

Demostración de un ataque de phishing en iOS solicitando un correo electrónico y una contraseña

Krause dice que esas cosas deben tratarse con más cuidado. Cuando no esté seguro, cierre la ventana presionando el botón Inicio. Si no desaparece, esta es la ventana oficial Apple, y si desaparece, esta es la ventana de la aplicación, y no debes ingresar tus datos.

Este tipo de ataque no es nuevo y Apple analiza las aplicaciones antes de agregarlas a App Store. Pero nunca está de más tener cuidado.

Krause informó Apple sobre su concepto.

Rate article
Sitio sobre teléfonos inteligentes, instrucciones, consejos, calificaciones.
Add a comment