Quando si parla di phishing si pensa subito alle email ingannevoli che imitano - spesso in maniera eccellente - i messaggi della banca o di un servizio online per rubare le credenziali d’accesso dell’utente. Il fenomeno è più ampio, però e riguarda anche i siti Web e le piattaforme software degli smartphone. Incluso iOS. 

Chi usa un iPhone o un iPad si sarà accorto che spesso Apple chiede la password di accesso ad iTunes e iCloud con un semplice pop-up. La finestrella di dialogo può apparire a sorpresa, anche quando iTunes, App Store o altre applicazioni Apple non sono aperte. Una pratica molto criticata dagli esperti di sicurezza, perché si presta ad essere sfruttata da sviluppatori malintenzionati. 

Il ricercatore di sicurezza Felix Krause ha dato ulteriore credito a quelle critiche dimostrando che in effetti è possibile realizzare, senza troppa fatica, un pop-up in tutto e per tutto simile a quello con cui Apple gestisce l’accesso ai suoi servizi. Una falsa richiesta di login, insomma, con cui un malintenzionato può rubare facilmente le password di un ignaro utente.  

Per simulare in tutto e per tutto il pop-up di richiesta di login di Apple lo sviluppatore deve conoscere a priori l’email collegata all’account dell’utente, è vero, ma il metodo può funzionare anche con finestre di dialogo che riportano richieste più generiche, del tipo “Immetti la tua password per gestire il tuo account”.  

“Mostrare un pop-up che sembra un pop-up di sistema è semplicissimo”, spiega Krause. “Non c’è di mezzo né qualche magia software, né un codice segreto, è letteralmente l’esempio che Apple fornisce nella sua documentazione, con un testo personalizzato”.  

Il suggerimento del ricercatore per gli ingegneri di Cupertino è altrettanto semplice: fare in modo che l’immissione della password dell’account iCloud sia possibile solamente all’interno delle impostazioni di sistema. E agli utenti dice: “non inserite mai le credenziali in un pop-up, piuttosto chiudetelo, aprite le Impostazioni e fate il login da quella posizione”.  

Nel frattempo c’è comunque un modo rapido per smascherare questo tipo di attacchi: quando compare un pop-up con la richiesta della password basta premere il tasto home per uscire dall’app in uso. Se la finestra di dialogo rimane attiva, tutto ok: è una richiesta legittima che viene dal sistema. Se invece il pop-up scompare significa che la richiesta è collegata all’applicazione e che si tratta, con ogni probabilità, di un tentativo di phishing. 

Alcuni diritti riservati.