2015/06/12

Bug no iOS facilita o roubo de passwords com um simples email


Há uma vulnerabilidade no iOS que facilita o processo de roubo das credenciais da conta iCloud dos utilizadores, e tudo o que é necessário é um simples email.

A maioria das pessoas já estará habituada a nem dar credibilidade a qualquer email que lhes prometa uma forma fácil de ficar rica sem trabalhar; ou uma herança de milhões de dólares; ou que ganharam uma lotaria num qualquer país que nunca sequer visitaram. Mas, e se enquanto liam um email aparentemente banal vos surgisse a habitual caixa a pedir a autenticação da conta iCloud?

... Caso introduzam os vossos dados, já foram "fisgados"!


A vulnerabilidade descoberta por Jan Soucek aproveita-se de uma falha na app de email do iOS na interpretação de emails HTML, para fazer surgir uma caixa de autenticação do iCloud - que na verdade é uma caixa falsa, criada pelo próprio email. A mail.app não deixa executar javascript num email, mas para este efeito basta HTML e CSS para que um atacante se possa apoderar dos dados que forem introduzidos pela vítima; que poderá ser iludida em erro, uma vez que não é incomum que o pedido para autenticação na iCloud possa surgir de forma inesperada.

O mais caricato é que esta falha já foi reportada à Apple em Janeiro, mas até ao momento ainda não foi corrigida, o que levou o investigador a revelar publicamente a vulnerabilidade. Esperemos que com a pressão "do público", a correcção seja mais célere.

Se se depararem com um destes pedidos e quiserem tirar as dúvidas, o mais fácil será regressarem à home page, e verem se a caixa continua a surgir - e se sim, é porque é mesmo a sério. Se desaparecer... então acabaram de se livrar de uma potencial surpresa desagradável.

Sem comentários:

Enviar um comentário (problemas a comentar?)