El software de Apple, tanto macOS como iOS, durante años, ha sido sinónimo de calidad, rendimiento, estabilidad y, sobre todo, seguridad. Sin embargo, a medida que pasa el tiempo este mito se va desmintiendo, y es que durante los últimos años hemos podido ver cómo muchos usuarios se han visto afectados por un gran número de problemas de estabilidad y rendimiento al instalar las últimas versiones de macOS y iOS, así como varios fallos de seguridad que han afectado a los productos de esta compañía, fallos tan graves como el que acaban de descubrir que puede ser utilizado para robar las contraseñas de iOS.
Un investigador de seguridad acaba de demostrar cómo es posible que cualquier desarrollador se haga con la contraseña del Apple ID de cualquier usuario utilizando tan solo un código de 30 líneas oculto en cualquier aplicación.
Este investigador de seguridad logró configurar en tan solo dos minutos la misma ventana de introducción de contraseña de Apple en la que el sistema operativo nos pide la contraseña de nuestra cuenta de Apple para autenticarnos en el sistema y poder realizar ciertas tareas, como descargar aplicaciones de la App Store.
Así, de forma muy sencilla, es posible hacer que una aplicación muestre esta ventana de introducción de contraseña para dar comienzo a un ataque de Phishing cuyo principal objetivo es hacerse con la contraseña de la cuenta de Apple de un usuario en concreto.
Este investigador no ha facilitado el código necesario para poder hacer esto, pero asegura que no es necesario hacer magia, es muy sencillo y hasta en la propia documentación de Apple hay un ejemplo que hace exactamente esto mismo, y que lo único necesario es cambiar un poco el texto para darle la apariencia de este cuadro de introducción de contraseña.
Un par de funciones adicionales, y la contraseña introducida puede ser enviada a un servidor controlado por piratas informáticos y el ataque Phishing se habrá realizado con éxito. Los piratas informáticos pueden combinar esta técnica con otras similares que permita, por ejemplo, saltarse los sistemas 2FA.
Cómo protegernos de este tipo de ataques en iOS
No hay forma de protegernos de este problema de seguridad hasta que Apple bloquee, mediante una actualización, el uso de las funciones que permiten simular esta ventana, o al menos bloquee su uso fuera de la App Store y los Ajustes de iOS.
Como mitigación contra estos ataques, el investigador recomienda a los usuarios que cada vez que vean esta ventana pulsen el botón Home de sus dispositivos para ver si el cuadro se cierra. Cuando Apple nos pide la contraseña, el botón Home no actúa, por lo que, si al pulsarlo se cierra, seguro que se trata de un ataque Phishing.
Además, debemos asegurarnos de utilizar siempre aplicaciones de desarrolladores que sean de confianza y, si en cualquier momento nos aparece esta ventana, salvo que nos aparezca en la propia App Store o en los Ajustes de iOS, ignorarla y no introducir la contraseña.
Apple, por el momento, no ha hecho declaraciones sobre esto, por lo que aún no sabemos si admite el fallo ni si tiene intenciones de solucionarlo, por ejemplo, con iOS 11.1.
¿Qué opinas de este fallo de seguridad?