Felix Krause ha dimostrato sul proprio blog che alcune app per iPhone e iPad rubano le password degli utenti con falsi pop-up di autenticazione. Questi pop-up sono finestre che appaiono sugli schermi dei nostri dispositivi quando è necessario inserire le credenziali per accedere ad un servizio. Questo problema con il sistema iOS esiste da ormai tanti anni. Nonostante l’attenzione che Apple riserva alle applicazioni non è stato ancora trovato un rimedio per questi inganni.
Krause ha provato a creare a sua volta pop-up illegittimi per provare la veridicità delle sue affermazioni a riguardo. Lo sviluppatore ha potuto testare egli stesso che è impossibile distinguere i pop-up reali da quelli fasulli. Ciò che trae in inganno è l’aspetto di queste finestre pop-up, le quali sono identiche a quelle originali.
L’unico modo per capire se la finestra per inserire le credenziali (di iCloud, iTunes o App Store) è autentica o tentativo di phishing è premere il tasto Home. Premendo il tasto Home l’eventuale inganno delle app verrà facilmente allo scoperto. Se premendo il tasto Home il pop-up si presenta di nuovo sul nostro display allora è originale, altrimenti no.
Creare finti pop-up per rubare le password purtroppo è molto facile.
Per poter realizzare dei finti pop-up il materiale è disponibile direttamente online. Ciò che serve sono le librerie e le Api nel kit di sviluppo dell’Apple. Ci sono persino due modalità con cui le finte finestre pop-up vengono create, in un caso chiedendo direttamente la password d’accesso, in un altro caso mostrando anche l’email dell’utente, esattamente come quelle originali.
Le soluzioni a questo inconveniente sono due: un rimedio immediato ad un tentativo di phishing delle password con questi pop-up fasulli è premere il tasto Home. L’altra soluzione è annullare il pop-up e inserire le nostre credenziali d’accesso direttamente dalle impostazioni del servizio per il quale ci servono.