Un programador troba una possible vulnerabilitat per atacs de ‘phising’.
Els usuaris de l’iPhone coneixeran bé aquesta situació: després d’una actualització, o bé de manera aleatòria, el sistema els insta a tornar a introduir les credencials d’iCloud, el passaport que dóna accés a tots els serveis del terminal. Aquesta alerta sol sorgir -de forma molesta i repetitiva en ocasions- mitjançant una finestra emergent (també coneguda com pop-up ) que ocupa part de la pantalla i que impedeix a l’usuari fer res més que introduir l’esmentada contrasenya o cancel·lar i seguir sense accedir.
El desenvolupador Felix Krause ha trobat, però, una forma d’enganyar al sistema de manera que aquest pop-up no sigui llançat pel sistema, sinó per una aplicació qualsevol, i és aquí on hi ha el veritable perill. Els lladres de la xarxa anhelen comptar amb les nostres credencials per accedir a la nostra informació més personal mitjançant l’engany per després lucrar-se amb ella (el conegut com phising), i això és, per descomptat, un engany.
El programador ha replicat sense grans complicacions la finestra d’alerta i en una entrada al seu bloc, ha instat els seus lectors a trobar les diferències entre un avís real i la simulada; missió impossible, els advertim. Krause ha advertit que li ha resultat “cridanerament simple” replicar aquest pop-up i s’ha negat, per qüestions de caràcter ètic, a revelar el codi font que el genera.
Vagi per davant que el desenvolupador no ha detectat un atac real emprant aquesta tècnica, sinó una possible vulnerabilitat que, en mans alienes, pot robar fàcilment les dades de l’usuari. El dolent d’aquest forat de seguretat és que ni tan sols la verificació en dos passos (codis temporals enviats per SMS o email) els manté fora de perill d’aquest eventual atac, ja que com apunta el programador, aquest token pot ser reenviat directament des de l’equip afectat a un servidor remot.
Què fer, doncs, davant d’una finestra emergent d’aquestes característiques? La bona notícia és que el phising és fàcilment detectable: la prova del cotó consisteix en una cosa tan senzilla com prémer el botó home en l’iPhone quan aparegui dit pop-up; si la finestra es manté a la pantalla, es tractarà d’un avís genuïna del sistema, però si no ho fa, estarem davant d’un atac mitjançant phising. En qualsevol cas, Krause aconsella que sota cap concepte, introduïm les nostres credencials en una finestra emergent, sinó que en el seu lloc, accedim als Configuració del sistema i ho fem des d’aquí.
JOSÉ MENDIOLA ZURIARRAIN – EL PAÍS