Attenti ai finti pop-up di richiesta password in iOS

finti pop-up

Probabilmente vi sarà capitato di vedere apparire un pop-up, all’improvviso e senza una vera ragione, relativo alla richiesta di inserire la password dell’App Store. A me è capitato e molte volte mi sono chiesto se dietro non vi fosse qualche tentativo di phishing.

Il ricercatore Felix Krause ha dimostrato che in effetti questo tipo di attacco è possibile. Integrando 30 linee di codice in un’app, premendo come riferimento il sistema UIAlertController fornito da Apple, è possibile ricreare una finta richiesta di password per l’App Store.

L’utente, vedendo il pop-up del tutto simile a quello di Apple, può essere tratto in inganno e offrire la sua password per iCloud. Ci sono da precisare alcune cose, però:

  • Con la doppia autenticazione si rischia molto poco, perché l’hacker oltre alla password deve avere il codice usa e getta generato dal sistema.
  • Apple non approva app con codice malevolo nell’App Store.

C’è da capire se questo tipo di attacco si può attuare anche da una web app. Nel dubbio, quando vi viene chiesta questa password, entrate nell’App Store e inseritela lì.

Il ricercatore indica un metodo per comprendere se il pop-up è vero o falso. Basta premere il pulsante Home quando appare. Se si chiude solo l’app in background e il pop-up resta al suo posto allora è vero. Se si chiude anche il pop-up, allora è falso.