Destacat »

25 octubre 2017 – 12:00

Certifica’t amb l’AQPE amb un 20% de descompte + un 10% si ets member abans del 31 de desembre!

Read the full story »
Col·legi

el Col·legi, informació rellevant sobre el COEINF, activitats, relacions i varis

Formació

formació continuada i orientació professional, convenis de formació amb altres entitats

Esdeveniments

tots els esdeveniments rellevants del sector TIC

Informes

informes, estudis, enquestes, … relacionats amb les tecnologies de la informació

Professió

món laboral, emprenedors, enginyers en informàtica, entrevistes, certificacions, deontologia, carreres professionals, …

Home » Notícies

Fas servir l’iPhone? Compte amb aquesta alerta

Submitted by on 17 octubre 2017 – 12:00No Comment
Share Button

Un programador troba una possible vulnerabilitat per atacs de ‘phising’.

Els usuaris de l’iPhone coneixeran bé aquesta situació: després d’una actualització, o bé de manera aleatòria, el sistema els insta a tornar a introduir les credencials d’iCloud, el  passaport que dóna accés a tots els serveis del terminal. Aquesta alerta sol sorgir -de forma molesta i repetitiva en ocasions- mitjançant una finestra emergent (també coneguda com pop-up ) que ocupa part de la pantalla i que impedeix a l’usuari fer res més que introduir l’esmentada contrasenya o cancel·lar i seguir sense accedir.

El desenvolupador Felix Krause ha trobat, però, una forma d’enganyar al sistema de manera que aquest pop-up no sigui llançat pel sistema, sinó per una aplicació qualsevol, i és aquí on hi ha el veritable perill. Els lladres de la xarxa anhelen comptar amb les nostres credencials per accedir a la nostra informació més personal mitjançant l’engany per després lucrar-se amb ella (el conegut com phising), i això és, per descomptat, un engany.

El programador ha replicat sense grans complicacions la finestra d’alerta i en una entrada al seu bloc, ha instat els seus lectors a trobar les diferències entre un avís real i la simulada; missió impossible, els advertim. Krause ha advertit que li ha resultat “cridanerament simple” replicar aquest pop-up i s’ha negat, per qüestions de caràcter ètic, a revelar el codi font que el genera.

Vagi per davant que el desenvolupador no ha detectat un atac real emprant aquesta tècnica, sinó una possible vulnerabilitat que, en mans alienes, pot robar fàcilment les dades de l’usuari. El dolent d’aquest forat de seguretat és que ni tan sols la verificació en dos passos (codis temporals enviats per SMS o email) els manté fora de perill d’aquest eventual atac, ja que com apunta el programador, aquest token pot ser reenviat directament des de l’equip afectat a un servidor remot.

Què fer, doncs, davant d’una finestra emergent d’aquestes característiques? La bona notícia és que el phising és fàcilment detectable: la prova del cotó consisteix en una cosa tan senzilla com prémer el botó home en l’iPhone quan aparegui dit pop-up; si la finestra es manté a la pantalla, es tractarà d’un avís genuïna del sistema, però si no ho fa, estarem davant d’un atac mitjançant phising. En qualsevol cas, Krause aconsella que sota cap concepte, introduïm les nostres credencials en una finestra emergent, sinó que en el seu lloc, accedim als Configuració del sistema i ho fem des d’aquí.

JOSÉ MENDIOLA ZURIARRAIN – EL PAÍS

 

Etiquetes:

Aquesta web utilitza 'cookies' pròpies i de tercers per oferir-te una millor experiència i servei. Al navegar o utilitzar els nostres serveis, acceptes l'ús que fem de les 'cookies'. De tota manera, pots canviar la configuració de 'cookies' en qualsevol moment ACEPTAR
Aviso de cookies
Check Our FeedVisit Us On LinkedinVisit Us On TwitterVisit Us On Facebook