Foto: AP Images.

Apple tiene la costumbre de solicitar la contrase√Īa de Apple ID del usuario en algunos casos, mediante una ventana emergente (pop-up) que aparece sin ning√ļn tipo de aviso en medio de la pantalla del iPhone o iPad, y esta misma costumbre podr√≠a ser aprovechada por hackers para robar datos.

Advertisement

Un investigador de seguridad y desarrollador llamado Felix Krause, fundador de Fastlane, asegura que hacer una copia de estas ventanas es increíblemente sencillo. Si un hacker o cibercriminal quisiera, podría robar los datos de cualquier usuario de iOS de la manera más fácil y rápida posible: pidiéndoselo.

Esto se debe a que Apple ya nos tiene acostumbrados a solicitar nuestra contrase√Īa (sea de Apple ID o de desbloqueo) en un mont√≥n de ocasiones, especialmente cuando se instala alguna actualizaci√≥n del sistema operativo. Si un hacker creara su propia versi√≥n de un pop-up para solicitar la contrase√Īa de Apple ID, es bastante probable que el usuario simplemente se la de, pensando que se trata de una solicitud del dispositivo.

Krause coment√≥ a Motherboard que ‚Äúpara hacerlo es tan f√°cil como escribir menos de 30 l√≠neas de c√≥digo‚ÄĚ.

Advertisement

A la izquierda, un pop-up real de iOS. A la derecha, un pop-up falso dentro de una aplicación cualquiera. (Imagen: Felix Krause)

Afortunadamente, todav√≠a no hay evidencia de que alg√ļn hacker o ciberciminal haya utilizado este m√©todo para hacer un ataque de usurpaci√≥n de identidad. El problema, como logr√≥ identificar tras crear su propio pop-up falso, es que es muy dif√≠cil identificar cuando te est√°n enga√Īando. Para ello, Krause recomienda seguir los siguientes pasos:

  • Apple no suele pedir la contrase√Īa de Apple ID dentro de ninguna aplicaci√≥n, la que m√°s solicita es la de desbloqueo del m√≥vil. Pero de hacerlo, puedes presionar el bot√≥n de inicio. Si la ventana desaparece para siempre, era falsa. Si vuelve a aparecer en la pantalla de inicio, es oficial.
  • De cualquier forma, no recomienda introducir la contrase√Īa de Apple ID en esta ventana sino intentar acceder a la aplicaci√≥n de Configuraci√≥n de iOS y hacerlo en el apartado de iCloud y iTunes directamente.

Advertisement

El sistema de protecci√≥n antimalware de la App Store es bastante bueno detectando ataques maliciosos, pero un atacante bien podr√≠a esperar a que su app sea aprobada y despu√©s a√Īadir la ventana emergente. Para solucionar este problema, Krause le propone a Apple que comience a solicitar al usuario a introducir su contrase√Īa de Apple ID directamente en la app de configuraci√≥n, y no a trav√©s de un pop-up. [v√≠a Felix Krause / Motherboard]