Qualche giorno fa vi ho segnalato la ricerca di Felix Krause. Lo sviluppatore ha dimostrato come sia possibile creare un pop-up fraudolento per spingere l’utente a inserire i suoi dati di Apple ID. Quindi l’utente crede di inserire i dati per Apple, ma invece questi sono inviati ad un server esterno.
In questo tipo di attacco abbiamo alcuni limiti: 1) Apple non accetterebbe mai app modificate in questo modo nell’App Store: 2) se si utilizza l’autenticazione a doppio fattore bisogna inserire un ulteriore dato che l’hacker non ha.
Nonostante questo Krause è andato oltre. Ha utilizzato il suo stesso hack per realizzare un secondo hack. In quest’ultimo, che funziona sempre a livello teorico, la finta app chiede un permesso speciale per accedere alla fotocamera.
In questo caso l’hacker accede agli screenshot, all’uso della fotocamera e molto altro. Questo pone un interrogativo importante: se lo facesse un’app vera e non una fasulla? Se uno sviluppatore chiedesse l’accesso alla fotocamera per registrare dati riservati?
Krause suggerisce un doppio controllo sull’accesso alla fotocamera, per indicare all’utente se l’uso è regolare oppure no.
ciao Kiro ti leggo sempre e volentieri ma secondo me in questo caso stai facendo pubblicità ad un bimbominchia e te lo dico da sviluppatore iOS.
Ovviamente se scrivo codice posso fare quello che voglio in locale sul mio iPhone ma la storia finisce lì. Tutte queste cose che il ragazzino si diverte a fare in locale sono espressamente vietate dalle linee guida dell’ App Store e pertanto qualsiasi App che anche solo si avvicinasse ad un comportamento simile sarebbe rifiutata. Chiunque ha avuto l’esperienza di passare tramite il processo di approvazione dell’AppStore sà quanto siano severi (a volte pure troppo) e fare falsi allarmismi o chiedere modifiche potrebbe portare ad un irrigidimento di un sistema già molto rigido con impatti negativi per gli sviluppatori che lavorano davvero.