iProfesional

Un desarrollador detectó una posible vulnerabilidad que, en manos ajenas, puede robar fácilmente los datos del usuario del famoso teléfono móvil de Apple
12/10/2017 - 17:19hs

Los usuarios del iPhone deben realizar, tras una actualización o bien de manera aleatoria, una acción pedida por el sistema: volver a introducir las credenciales de iCloud, el pasaporte que da acceso a todos los servicios del terminal.

Esta alerta suele surgir -de forma molesta y repetitiva en ocasiones- mediante una ventana emergente (también conocida como pop-up) que ocupa parte de la pantalla y que impide al usuario hacer otra cosa que introducir la citada contraseña o cancelar y seguir sin acceder.

El desarrollador Felix Krause encontró una forma de engañar al sistema de forma que dicho pop-up no sea lanzado por el sistema, sino por una aplicación cualquiera, y es aquí donde está el verdadero peligro.

Los ladrones de la red ansían contar con las credenciales para acceder a la información más personal mediante el engaño para luego lucrarse con ella (el conocido como phising), y esto es, por descontado, un engaño.

El programador replicó sin grandes complicaciones la ventana de alerta y en una entrada en su blog, instó a sus lectores a encontrar las diferencias entre una alerta real y la simulada.

Krause advirtió que le resultó “llamativamente simple” replicar este pop-up y se negó, por cuestiones de carácter ético, a revelar el código fuente que lo genera.

El desarrollador no detectó un ataque real empleando esta técnica, sino una posible vulnerabilidad que, en manos ajenas, puede robar fácilmente los datos del usuario.

Lo malo de este agujero de seguridad es que ni siquiera la verificación en dos pasos (códigos temporales enviados por SMS o email) les mantiene a salvo de este eventual ataque, ya que como apunta el programador, este token puede ser reenviado directamente desde el equipo afectado a un servidor remoto.

¿Qué hacer, entonces, ante una ventana emergente de estas características? La buena noticia es que el phising es fácilmente detectable: la prueba del algodón consiste en algo tan sencillo como pulsar el botón home en el iPhone en cuanto aparezca dicho pop-up.

Si la ventana se mantiene en la pantalla, se tratará de una alerta genuina del sistema, pero si no lo hace, se estará ante un ataque mediante phising.

En cualquier caso, Krause aconseja que bajo ningún concepto, se introduzcan las credenciales en una ventana emergente, sino que en su lugar, se acceda a los Ajustes del sistema y se haga desde ahí.