Il phishing è un tentativo di truffa che ha solitamente lo scopo di ottenere informazioni e dati personali degli utenti, come ad esempio la password di un account.
Lo sviluppatore Felix Krause ha creato una dimostrazione pratica di un potenziale meccanismo di attacco phishing utilizzabile nei confronti di utenti con dispositivi iOS (iPad e iPhone), evidenziando per gli sviluppatori di app la possibilità di visualizzare sullo schermo una finestra popup stile Apple e ottenere accesso all’Apple ID e alla password dell’utente.
Utilizzando una finestra di tipo UIAlertController (una particolare Alert View per creare Alert nelle applicazioni), è possibile emulare la grafica e il comportamento del meccanismo di sistema che richiede la password e quindi un sistema di phishing con il quale ottenere la password dell’utente.
La finestra visualizzata sembra in tutto e per tutto uguale a quella che il sistema visualizza quando è necessario effettuare l’accesso con l’ID Apple usando servizi quali come iTunes Store e App Store, Apple Music, iCloud, iMessage e FaceTime.
“Mostrare una finestra di dialogo che simula il popup di sistema è molto semplice” spiega lo sviluppatore; “non c’è alcuna magia o necessità di codice segreto. Sono letteralmente esempi forniti nella documentazione di Apple, con testo personalizzato”. “Ho deciso di non rendere pubblico l’attuale codice del popup, ad ogni modo da notare che richiede meno di 30 linee di codice e qualsiasi sviluppatore iOS è in grado di costruire velocemente il proprio codice per attivare il phishing”.
Esistono meccanismi di allerta del sistema per i quali lo sviluppatore deve disporre dell’email associata all’Apple ID ma, spiega Macrumors, esistono anche dei popup di allerta che non richiedono l’email e possono essere sfruttati per ottenere la password.
Meccanismi di phishing come questi non sono nuovi e anche se Apple verifica le app prima di accettare la loro distribuzione sull’App Store è bene ricordare agli utenti potenziali meccanismi di truffa che potrebbero portare a ottenere dettagli sugli account personali. Lo stesso sviluppatore che ha evidenziato il problema indica un metodo per capire se il messaggio è riportato realmente dal sistema o dall’app: alla comparsa del pop-up basta premere il tasto Home; se il pop-up scompare, il messaggio è legato all’app; se rimane, la richiesta p partita dal sistema operativo. Krause raccomanda di ignorare eventuali messaggi di questo tipo che compaiono direttamente dalle app e verificare la richiesta di eventuali credenziali specifiche per le app andando nelle Impostazioni e selezionando l’app di proprio interesse.
Lo sviluppatore ha segnalato il problema ad Apple e suggerito un fix che consiste nell’indicare all’utente di indicare le proprie credenziali nella sezione Impostazioni di iOS, anziché visualizzare un pop sullo schermo che può essere riprodotto graficamente. In alternativa suggerisce la visualizzazione di un’icona nel popup, in modo che l’utente capisca che la richiesta sta partendo dall’app e non dal sistema.
Ricordiamo che Apple mette a disposizione per gli ID Apple la protezione con il meccanismo di autenticazione a due fattori. Sfruttando questo meccanismo di protezione (qui spieghiamo come si attiva) è possibile blindare il proprio account impedendo l’accesso anche a quanti riuscissero a scoprire le nostre password.