Robarte la contraseña de Apple ID es ridículamente sencillo (y cómo evitarlo)
Por Michael Mcloughlin
Un experto en seguridad publica la prueba de que resulta muy sencillo clonar las ventanas de manera idéntica para introducir la clave en iOS y crear un ataque de ‘phising’.
¿Tiene un iPhone? ¿Un iPod o un iPad? Piense todas las veces a lo largo del día que aparece una ventana pidiendote la clave de tu Apple ID. Se ejecuta aleatoriamente, en varios momentos de la jornada. Cuando intentas comprar algo en iTunes, en la App Store o se ejecuta casi por sorpresa cuando algo anda corriendo en segundo plano. “Es una medida más de seguridad”, pensarán. Efectivamente. Sin embargo, detrás de este control se ha descubierto un agujero con el que pueden robarte tu contraseña y tener acceso a todos los datos de tu cuenta.
No es un complicadísimo método que conlleve largos comandos o un desarrollo bestial. Simplemente, te lo pide. Si, como lo oye. Te lo piden y tu sueltas la clave. Un investigador llamado Felix Crause ha descubierto lo increiblemente fácil que resulta ‘clonar’ estas ventanas para alguien que tenga ciertos conocimientos y ponerla en circulación. Los ‘pop-ups’ son prácticamente idénticos, lo que hace complicado percatarse de que en realidad Apple no ha vuelto a darte el alto y pedirte tu clave.
Aunque nadie duda de que sea un sistema efectivo para desbloquear el teléfono, el reconocimiento facial 3D plantea algunas dudas y agujeros para proteger datos sensibles
No te la roban, se la das
A partir de ahí, toca esperar para que algún usuario haga el resto del trabajo: rellene la caja en blanco de manera institiva -la gran mayoría lo hace de manera automática- y deje todo su perfil de Apple ID servido en bandeja al cibercriminal de turno.
Este investigador, fundador de la firma Fastlane, asegura que no hay aún ningún tipo de evidencia de que nadie haya usado este método pero, por si acaso, ya lo ha puesto encima de la mesa para arreglar esta vulnerabilidad.
Cómo evitar caer en esta trampa
Apple tiene bastantes medidas, por lo general efectivas, en su App Store para evitar que se le cuele malware. Sin embargo, Kraus sostiene que ejecutar ciertos comandos adicionales una vez se ha superado la aprobación de la aplicación. “Son apenas 30 líneas de código”, explica sobre el desarrollo que conlleva esta treta para robar Apple ID.
Kraus, que ha publicado un largo post al respecto, dice que hay una manera de comprobar si el cuadro es lícito o no. Pulsa el botón Home. Si la aplicación en cuestión se cierra y el pop-up desaparece era una trampa. Si todo sigue en su lugar, adelante: todo es seguro. Por si no te sientes seguro, el experto recomienda que directamente introduzcas tus credenciales en el menú de configuración de iCloud cada vez que te lo pida para evitar el uso de estos campos.